Messaggio di attenzione
Attenzione: il profilo utente selezionato è associato ad altri servizi Spaggiari, procedere invece con il profilo relativo a Italiascuola.it?
Annulla
Ok
Area Tematica: Alunni, alunni portatori di disabilità
Argomenti:
Alunni/assenze: collettive
KEYWORDS
Scuola secondaria di secondo grado.
A seguito delle numerose assenze di un alunno nato in data xx/xx/20xx, come da prassi, la famiglia viene informata ripetutamente dal coordinatore di classe e, di seguito, il dirigente invia una comunicazione alla famiglia richiedendo un colloquio che viene tenuto. Nonostante ciò, il ragazzo continua ad assentarsi spesso e, considerato che già al xx ottobre xx ha cumulato xx ore di assenza la dirigente invia comunicazione al Sindaco, ai servizi sociali, ai carabinieri e alla famiglia con la quale sollecita di adottare i provvedimenti del caso.
In data xx gennaio xx la scuola riceve da parte del Comandante della stazione dei carabinieri di competenza, a mezzo posta elettronica certificata, la seguente richiesta al fine di poter procedere con le indagini di p.g. relative alla nostra precedente comunicazione di fornire via mail copia de fascicolo relativo al minore xx"
Il quesito è il seguente: può il dirigente inviare copia del fascicolo del minore, che intanto ha anche compiuto 16 anni, al Comandante dei Carabinieri senza che vi sia altra documentazione a suffragio della richiesta? E perché poi l'intero fascicolo dove sono contenuti dati di ogni genere? E' legittima tale richiesta? Qual è la corretta procedura che il dirigente deve intraprendere in casi del genere? Considerato che si è verificato un caso simile in cui un'assistente sociale chiede certificato di frequenza di un'alunna minorenne per la quale però il padre detiene la responsabilità genitoriale, quali documenti deve richiedere il dirigente per poter eventualmente procedere alla consegna del certificato ?
Grazie
Per quanto riguarda il primo caso, si rileva che la situazione di “disagio” è stata segnalata proprio dalla scuola di appartenenza del minore. La segnalazione è stata estesa anche ai carabinieri, che sono un organo di polizia giudiziaria, tenuto a reprimere i reati e, prima ancora, a svolgere le indagini volte ad accertarli. Il comando dei carabinieri ha quindi aperto un fascicolo di indagini di polizia giudiziaria ed è quindi corretto che proceda all’accertamento dei fatti, chiedendo anzitutto la collaborazione della scuola di appartenenza del minorenne (scuola che, si ricorda, ha effettuato la segnalazione). In questa prospettiva, l’istituzione scolastica deve collaborare evadendo la richiesta pervenuta, non essendovi dubbio alcuno circa la provenienza della stessa. Peraltro, non compete alla scuola di valutare quale documento possa assumere rilevanza ai fini dello svolgimento delle indagini di polizia giudiziaria. Concludendo, la richiesta dei carabinieri deve essere evasa, non potendo certo essere assimilata a un’istanza di accesso avanzata da un qualunque privato.
Per quanto riguarda la seconda fattispecie (ossia la richiesta dell’assistente sociale), giova anzitutto evidenziare che l’assistente sociale non ha funzioni di polizia giudiziaria. Sennonché l’assistente sociale svolge un ruolo fondamentale di supporto, assistenza e consulenza in situazioni di disagio. Il quesito non precisa in quale contesto sia pervenuta la richiesta del certificato di frequenza; non è ben chiaro, ad esempio, se l’assistente sia stato allertato proprio dalla scuola, oppure abbia agito di propria iniziativa alla luce di segnalazioni provenienti da terzi. Fatto si è che, ai sensi dell’art.9, comma 1, della legge n.184/1983, “Chiunque” (quindi anche la scuola) “ha facoltà di segnalare all'autorità pubblica situazioni di abbandono di minori di età. I pubblici ufficiali, gli incaricati di un pubblico servizio, gli esercenti un servizio di pubblica necessità debbono riferire al più presto al procuratore della Repubblica presso il tribunale per i minorenni del luogo in cui il minore si trova sulle condizioni di ogni minore in situazione di abbandono di cui vengano a conoscenza in ragione del proprio ufficio”. Premesso che la situazione di abbandono è un concetto relativo (e, talvolta, evoca anche quello di pregiudizio), non si vedono ragioni per non collaborare con l’assistente sociale, posto che, a tutto concedere, le informazioni sulla frequenza scolastica non recano dati personali di natura sensibile. Dopo di che (e sempre che la richiesta dell’assistente non sia conseguenza di una specifica segnalazione della scuola), in caso di dubbio, è sempre possibile chiedere in forma scritta di esplicitare le ragioni della propria richiesta.
I contenuti di questo sito sono riservati; non è ammessa la loro ulteriore comunicazione, diffusione o pubblicazione (a titolo esemplificativo e non esaustivo, la diffusione su altri siti internet o attraverso testate giornalistiche) se non dietro esplicita autorizzazione della Direzione.
Sentenza 10/03/2025 n° 332
Area: Giurisprudenza
1. In materia di accesso agli atti, il diniego di accesso non può essere disposto oltre i casi in cui risulta espressamente previsto, tra i quali non figura l’ipotesi di decadenza della responsabilità genitoriale, soprattutto quando è in gioco il superiore interesse del minore e il diritto di difesa di un genitore in sede giudiziaria. 2. Pertanto, in assenza di una specifica preclusione normativa e in presenza di un documentato diritto di difesa anche connesso al superiore interesse del minore, il genitore ha diritto ad accedere alla documentazione richiesta, con le dovute cautele per la tutela dei dati sensibili. Nel caso di specie, una madre alla quale era stato tolto l’affidamento del figlio ormai da oltre tre anni aveva domandato la copia di tutta la documentazione scolastica relativa al minore. La madre, coinvolta in un procedimento civile per contestare quello un illecito allontanamento coatto, aveva chiesto all’istituto comprensivo frequentato dal figlio pagelle, verifiche, verbali e registro delle assenze degli ultimi tre anni. Tali documenti erano necessari per supportare la propria posizione processuale, sottolineando come il rendimento scolastico e le condizioni psicofisiche del bambino si fossero aggravate dopo l’allontanamento. Il dirigente scolastico aveva respinto la richiesta, motivando il diniego con la decadenza dalla responsabilità genitoriale della madre: la donna non era quindi più legittimata secondo la scuola a ricevere i documenti.
KEYWORDS
#accesso agli atti amministrativi#genitori: responsabilità genitoriale#privacy e trattamento dei dati personali#trasparenza amministrativa#accesso civico
Sentenza 04/03/2025 n° 879
Area: Giurisprudenza
Nel caso in cui una minore, dichiarata in sede penale incapace di intendere e di volere, crei profili falsi sul social network “Instagram” riconducibili ad una compagna di classe e vi pubblichi foto di quest’ultima modificate con intelligenza artificiale inserendo contenuti pornografici, insulti a sfondo sessuale e commenti offensivi e minacciosi, la responsabilità civile ricade sui genitori in forza dell’art. 2047 c.c. (che regola la responsabilità per il danno causato da una persona incapace di intendere o di volere). Nella specie, i genitori della minore incapace rispondono direttamente del danno alla reputazione, all’onore e al decoro causato alla vittima per inosservanza dell’obbligo di sorveglianza che grava su di essi: per aver omesso, cioè, di vigilare adeguatamente sull’utilizzo dei social network da parte della figlia. Specialmente allorché la storia clinica della minore dimostri inequivocabilmente le sue difficoltà relazionali e di comprensione del significato e delle conseguenze delle proprie azioni, infatti, grava sui genitori un dovere di vigilanza particolarmente pregnante. Il regime probatorio, in questi casi, richiede al danneggiato (la compagna di classe vittima dell’attività minacciosa e diffamatoria) solo di provare di aver subito un danno causato dall’incapace, mentre i genitori di quest’ultima devono provare di non aver potuto impedire il fatto, non essendo sufficiente la mera dimostrazione di aver agito con diligenza (ad esempio controllando semplicemente i contenuti pubblicati dall’account della figlia). In questo senso, la mancanza di capacità tecniche/digitali dei genitori (che avrebbero potuto consentire loro di scoprire, ad esempio, la creazione di profili falsi da parte della figlia) non è sufficiente ad escluderne la responsabilità. Non viene in rilievo in questo caso l’art. 2048 c.c. (in materia di responsabilità dei genitori, dei tutori, dei precettori e dei maestri d’arte), in quanto quest’ultimo si applica solo nel caso in cui il minore sia capace di intendere e di volere. (Nel caso di specie, il Tribunale di Brescia ha condannato una coppia di genitori a risarcire il danno causato dalla figlia minorenne, dichiarata incapace di intendere e di volere in sede penale anche per via del suo ritardo intellettivo certificato ai sensi della L. 104/1992, ad una compagna di classe. In particolare, la figlia aveva creato sul social network “Instagram” dei profili fake riconducibili alla sua compagna, in cui aveva pubblicato delle foto sottratte dal profilo di quest’ultima e modificate con software di produzione di immagini inserendo contenuti pornografici, insulti a sfondo sessuale e minacce. Il Tribunale ha ritenuto insufficiente a liberare i genitori da responsabilità il semplice controllo da essi posto in essere degli accessi e dei contenuti pubblicati dalla minore sul social network: la mancanza di competenze tecnico-informatiche dei genitori avrebbe infatti dovuto indurli a sorvegliare l’attività social della figlia in modo ancor più rigoroso.)
KEYWORDS
#genitori: responsabilità genitoriale#privacy e trattamento dei dati personali#responsabilità civile
Sentenza 06/10/2025 n° 1723
Area: Giurisprudenza
Premesso che la valutazione del percorso scolastico costituisce esercizio di discrezionalità tecnica, sindacabile dal GA nei soli casi di illogicità e contraddittorietà manifeste, e che ai fini dell’ammissione alla classe successiva rileva soltanto il livello di preparazione oggettivamente raggiunto, mentre eventuali carenze nella predisposizione di strumenti di ausilio o nella comunicazione con la famiglia non viziano il giudizio di non ammissione, l’operato della scuola nel caso di specie appare immune da censure. La scuola ha tempestivamente e più volte segnalato alla famiglia la situazione critica della studentessa, sia attraverso l’inserimento dei voti nel registro elettronico – modalità già di per sé sufficiente ad adempiere l’obbligo di comunicazione verso la famiglia – sia attraverso le comunicazioni della coordinatrice di classe, ed ha attivato corsi di recupero curriculare, frequentati dalla studentessa. Inoltre, i progressi della studentessa sono stati adeguatamente valorizzati in quanto in tre materie (Storia, Matematica e Diritto ed Economia politica), nonostante una media insufficiente, la ragazza è stata presentata allo scrutinio finale con il voto di sei, mentre sono state disposte le prove di recupero per Italiano e Inglese, poi giudicate insufficienti. Anche la correzione delle prove di recupero è immune da vizi in quanto si è svolta collegialmente da parte dei docenti incaricati e in coerenza con le griglie di valutazione predefinite. (Nel caso di specie una studentessa di scuola secondaria di secondo grado non veniva ammessa alla classe quarta per avere riportato una valutazione insufficiente in Italiano – cinque – e in Inglese – quattro – all’esito delle prove di recupero. Il GA ripercorre la normativa e la giurisprudenza in tema di non ammissione alla classe successiva ed evidenzia alla luce dei parametri normativi e giurisprudenziali la correttezza dell’operato della scuola ed il corretto impiego della discrezionalità tecnica.)
KEYWORDS
#istruzione secondaria di secondo grado#studenti: valutazione degli apprendimenti ed esami
Sentenza 03/04/2020 n° 7668
Area: Giurisprudenza
Se, nell’interesse del minore, è possibile la trascrizione di atti di nascita formati all’estero che indicano come genitori del bambino due persone dello stesso sesso, lo stesso non può dirsi per i casi in cui il percorso di procreazione medicalmente assistita (PMA) sia avvenuto all’estero ma il minore sia nato in Italia e quindi il suo certificato di nascita sia italiano. L’ufficiale di stato civile non ha il potere-dovere di adeguare le formule ministeriali previste per la redazione dell’atto di nascita, inserendovi le annotazioni necessarie in relazione alle circostanze della fattispecie concreto. Ciò anche in relazione al fatto che la legge n. 40/2004 in materia di PMA è chiara nel limitare l’accesso a tale pratica alle coppie eterosessuali sterili e nel voler garantire che la struttura del nucleo familiare riproduca il modello della famiglia caratterizzata dalla presenza di una madre e di un padre. Il riconoscimento giuridico del legame familiare con il genitore d’intenzione può avvenire pertanto, in questi casi, solo tramite l’adozione. (In questo caso, la Corte di cassazione ha confermato una sentenza che rigettava la domanda di rettifica di un atto di nascita finalizzata ad indicarvi due genitori di sesso femminile. In questo caso, il minore era nato in Italia a seguito di un percorso di procreazione medicalmente assistita seguito all’estero e risultava biologicamente legato soltanto ad una delle due madri.)
KEYWORDS
#genitori: adozione, separazione, divorzio#genitori: responsabilità genitoriale
Sentenza 17/10/2024 n° 26938
Area: Giurisprudenza
In tema di pubblico impiego contrattualizzato, ai fini della decorrenza del termine perentorio previsto per la conclusione del procedimento disciplinare dall'acquisizione della notizia dell'infrazione (ex art. 55- bis, comma 4, del D.Lgs. n. 165 del 2001), assume rilievo esclusivamente il momento in cui tale acquisizione, da parte dell'ufficio competente regolarmente investito del procedimento, riguardi una "notizia di infrazione" di contenuto tale da consentire allo stesso di dare, in modo corretto, l'avvio al procedimento disciplinare, nelle sue tre fasi fondamentali della contestazione dell'addebito, dell'istruttoria e dell'adozione della sanzione. La contestazione è legittima, sotto il profilo della tempestività, se l’Amministrazione avvia il procedimento entro trenta giorni dalla comunicazione, da parte dell’Autorità Giudiziaria, della sottoposizione agli arresti domiciliari di un suo dipendente. La contestazione dell'addebito ha lo scopo di consentire al lavoratore incolpato l'immediata difesa e deve, conseguentemente, rivestire il carattere della specificità, senza l'osservanza di schemi prestabiliti e rigidi, purché siano fornite al lavoratore le indicazioni necessarie ed essenziali per individuare, nella sua materialità, il fatto o i fatti addebitati. Ne consegue la piena ammissibilità della contestazione "per relationem", mediante il richiamo agli atti del procedimento penale instaurato a carico del lavoratore, per fatti e comportamenti rilevanti anche ai fini disciplinari, ove le accuse formulate in sede penale siano a conoscenza dell'interessato risultando rispettati, anche in tale ipotesi, i principi di correttezza e garanzia del contraddittorio. Affinchè si realizzi la fattispecie di rilievo disciplinare della falsa attestazione di presenza in servizio ai sensi del D.Lgs. n. 165 del 2001, art. 55 quater, lett. a), non è richiesta necessariamente un'attività materiale di alterazione o manomissione del sistema di rilevamento delle presenze in servizio; la condotta deve, però, essere oggettivamente idonea ad indurre in errore il datore di lavoro, sicché anche l'allontanamento dall'ufficio, non accompagnato dalla necessaria timbratura, integra una modalità fraudolenta, diretta a rappresentare una situazione apparente diversa da quella reale. Nel caso di mancata registrazione delle uscite interruttive del servizio, la tipizzazione della sanzione prevista per la falsa attestazione non determina alcun automatismo espulsivo. L’Amministrazione può quindi valutare se comminare il licenziamento o una sanzione meno grave, rimanendo affidata al giudice di merito la verifica della proporzionalità e dell'adeguatezza del provvedimento disciplinare. (Dal punto di vista della tempestività della contestazione degli addebiti e dell’individuazione del momento in cui è pervenuta la “notizia di infrazione” all’Amministrazione procedente, la Corte ha ritenuto corretto aver atteso la conclusione delle indagini sui dipendenti da parte delle competenti autorità. La mera richiesta effettuata dall’Autorità Giudiziaria alla Procura di compiere le indagini non sarebbe stata, infatti, sufficiente a consentire la formulazione di precise contestazioni, non conoscendosi l'esito delle attività di controllo poste in essere. I Giudici hanno, inoltre, riconosciuto come sufficientemente specifica una contestazione contenente richiami alla nota della Procura della Repubblica in quanto quest’ultima era materialmente allegata alla lettera e conteneva una specifica indicazione di tutti gli episodi oggetto di accertamento).
KEYWORDS
#personale dipendente: licenziamento o risoluzione del rapporto di lavoro#personale dipendente: procedimento e sanzioni disciplinari
Sentenza 11/11/2014 n° 24001
Area: Giurisprudenza
In Italia l’art. 12 della legge n. 40/2004 vieta la pratica della surrogazione di maternità. Tale norma esprime un principio di ordine pubblico, anche internazionale, perché è legato alla necessità di rispettare la dignità umana della gestante e di salvaguardare l’istituto dell’adozione. Qualora una coppia di coniugi (marito e moglie) abbiano fatto ricorso a tale pratica all’estero ma non abbiano alcun legame biologico con il bambino nato da madre surrogata (peraltro senza rispettare neppure la legge del luogo in cui la pratica è stata compiuta), pertanto, il certificato di nascita formato all’estero è privo di effetti nel nostro ordinamento. Il bambino, non risultando figlio di nessuno dei due, è pertanto soggetto alla dichiarazione di adottabilità perché versa, per la legge italiana, in stato di abbandono. (Nel caso di specie, la Corte di cassazione ha rigettato un ricorso proposto da una coppia di coniugi che avevano fatto ricorso alla surrogazione di maternità in Ucraina con l’ausilio di una donna disposta a portare a termine la gravidanza e il contributo di un donatore esterno alla coppia. La vicenda implicava quindi anche una violazione della legge ucraina, che consente la gestazione per altri solo se il 50% del patrimonio genetico del nascituro appartiene alla coppia committente. Ciò nonostante, il bambino era stato registrato all’anagrafe come figlio dei coniugi committenti italiani, che peraltro avevano già visto respingere diverse richieste di adozione per via delle loro “grosse difficoltà nella elaborazione di una sana genitorialità adottiva”. Il bambino era così stato dichiarato in stato di adottabilità e affidato a una famiglia adottiva, mentre i genitori erano stati indagati per il reato di alterazione di stato.)
KEYWORDS
#genitori: adozione, separazione, divorzio#genitori: responsabilità genitoriale
Sentenza 25/08/2025 n° 29683
Area: Giurisprudenza
La fattispecie dell'ingiuria ricorre quando tra l'offensore e l'offeso sussiste un rapporto diretto, reale o virtuale, che garantisca a quest'ultimo un contraddittorio immediato, attuato con modalità tali da assicurare una sostanziale "parità delle armi". Integra il delitto di diffamazione, e non la fattispecie depenalizzata di ingiuria aggravata dalla presenza di più persone, l'invio di messaggi contenenti espressioni offensive nei confronti della persona offesa su una "chat" condivisa anche da altri soggetti, nel caso in cui la prima non li abbia percepiti nell'immediatezza, in quanto non collegata al momento del loro recapito. L’immagine di una persona utilizzata come foto del proprio profilo sull’applicazione di messaggistica dei social network deve intendersi come accessibile solo a una selezionata platea di contatti e non legittima la sua divulgazione da parte di costoro. Anche la mera pubblicazione nell’ambito di una chat di un numero di telefono privato, in assenza del consenso dell’interessato, è idonea a integrare un pregiudizio ai fini dell’integrazione del delitto di trattamento illecito di dati personali previsto dall’articolo 167 D.Lgs. 196/2003, che ben può essere di natura non patrimoniale. Il reato di minaccia, previsto dall'art. 612 cod. pen., costituisce un reato di pericolo, sicché non è necessario che la vittima si sia sentita effettivamente intimidita, essendo sufficiente che la condotta dell'agente sia potenzialmente idonea ad incidere sulla libertà morale del soggetto passivo, il cui eventuale atteggiamento minaccioso o provocatorio non influisce sulla sussistenza del reato, potendo eventualmente sostanziare una circostanza che ne diminuisca la gravità, come tale esterna alla fattispecie.(La sentenza in commento offre un quadro articolato e significativo della disciplina penale applicabile ai comportamenti illeciti commessi attraverso i social network, con particolare riferimento al trattamento dei dati personali e alla tutela della privacy nell'ambiente digitale. La pronuncia trae origine da una controversia sviluppatasi all'interno di un gruppo Facebook denominato "Gym Lemon", frequentato da appassionati di culturismo. Il conflitto ha visto protagonisti un appartenente alla Polizia di Stato e un altro utente, degenerando progressivamente da iniziali battibecchi verbali fino a condotte penalmente rilevanti. La situazione è precipitata quando uno dei contendenti ha pubblicato una fotografia dell'altro nudo, scatenando una escalation di comportamenti illeciti che hanno coinvolto anche l'accesso abusivo a banche dati pubbliche per ottenere informazioni personali e la successiva pubblicazione di immagini private, incluse quelle raffiguranti minori. La sentenza presenta elementi di particolare interesse per l'evoluzione della giurisprudenza in materia di protezione dei dati personali nell'ambiente digitale. In primo luogo, la Corte chiarisce definitivamente che anche la mera pubblicazione nell'ambito di una chat di un numero di telefono privato, in assenza del consenso dell'interessato, è idonea a integrare un pregiudizio ai fini dell'integrazione del delitto di trattamento illecito di dati personali previsto dall'articolo 167 D.Lgs. 196/2003, che ben può essere di natura non patrimoniale. Questo principio rappresenta un'evoluzione significativa rispetto alla precedente giurisprudenza, poiché estende la tutela penale anche a condotte apparentemente meno invasive, riconoscendo che il nocumento richiesto dalla norma può configurarsi anche attraverso la semplice violazione della riservatezza, senza necessità di dimostrare un danno patrimoniale specifico. Un secondo aspetto di rilievo concerne la tutela delle immagini personali utilizzate come foto profilo sui social network. La sentenza afferma che l'immagine di una persona utilizzata come foto del proprio profilo sull'applicazione di messaggistica dei social network deve intendersi come accessibile solo a una selezionata platea di contatti e non legittima la sua divulgazione da parte di costoro. Questo principio è particolarmente significativo nell'era dei social media, dove spesso si tende a considerare "pubbliche" informazioni che in realtà hanno una diffusione limitata e controllata dall'utente. La Corte ha inoltre precisato che il grave nocumento derivante dalla pubblicazione della foto di una figlia minorenne in un contesto denigratorio del nucleo familiare, accompagnata da messaggi minacciosi, integra chiaramente il requisito del pregiudizio richiesto dalla norma. Questa valutazione evidenzia come la giurisprudenza stia sviluppando una sensibilità particolare verso la protezione dei minori nell'ambiente digitale, riconoscendo che l'offesa all'immagine di un minore, anche quando non direttamente rivolta a lui, può costituire un nocumento giuridicamente rilevante. La pronuncia affronta con particolare attenzione la complessa distinzione tra ingiuria e diffamazione nell'ambiente digitale, questione di crescente rilevanza dopo la depenalizzazione dell'ingiuria. La Corte ribadisce che la fattispecie dell'ingiuria ricorre quando tra l'offensore e l'offeso sussiste un rapporto diretto, reale o virtuale, che garantisca a quest'ultimo un contraddittorio immediato, attuato con modalità tali da assicurare una sostanziale "parità delle armi". Il principio trova applicazione specifica nelle comunicazioni digitali, dove integra il delitto di diffamazione, e non la fattispecie depenalizzata di ingiuria aggravata dalla presenza di più persone, l'invio di messaggi contenenti espressioni offensive nei confronti della persona offesa su una "chat" condivisa anche da altri soggetti, nel caso in cui la prima non li abbia percepiti nell'immediatezza, in quanto non collegata al momento del loro recapito. Questa distinzione assume particolare rilevanza pratica, considerando che la diffamazione rimane penalmente rilevante mentre l'ingiuria è stata depenalizzata).
KEYWORDS
#privacy e trattamento dei dati personali#reato
Sentenza 08/07/2025 n° 30777
Area: Giurisprudenza
La configurabilità dell’art. 570-ter c.p. postula l'accertamento della perdurante inerzia del soggetto responsabile dell’adempimento dell’obbligo di istruzione del minore, non solo dopo essere stato raggiunto dalla comunicazione del dirigente scolastico circa le assenze ingiustificate superiori a quindici giorni, anche non consecutivi, nel trimestre, ma anche dopo essere stato successivamente ammonito dal sindaco, all'uopo allertato dal dirigente scolastico. (Il d.l. 123/2023, convertito dalla L. 159/2023, cd “Decreto Caivano”, con l’abrogazione dell’art. 731 c.p. e la contestuale introduzione dell’art. 570-ter c.p., ha trasformato l’inosservanza dell’obbligo dell’istruzione dei minori da contravvenzione in delitto. Con la presente pronuncia, la Suprema Corte, nell’analizzare un caso verificatosi sotto la vigenza della norma contravvenzionale ai fini della sua sussunzione all’interno della nuova fattispecie penale, chiarisce che la condotta inerte tenuta dal responsabile dell’istruzione del minore – che nella nuova formulazione non è più solo quella elementare ma comprende l’intero obbligo scolastico – assume rilevanza penale solo laddove il duplice avvertimento previsto dal comma 4 dell’art. 114 d.lgs. 297/1994 sia risultato infruttuoso. In altri termini, è necessario che il responsabile dell'istruzione di un minore, rimasto ingiustificatamente assente per più di quindici giorni nell'arco di un trimestre, abbia ricevuto una "comunicazione" da parte del dirigente scolastico, e che nei sette giorni successivi a quest'ultima il minore non abbia ripreso a frequentare la scuola. È a quel punto necessario, in secondo luogo, che il dirigente scolastico avverta nello stesso stringente termine di sette giorni il sindaco, e che anche dopo l'ammonizione di quest'ultimo il minore abbia continuato a restare assente senza adeguata giustificazione.)
KEYWORDS
#obbligo scolastico e formativo#reato
Sentenza 03/09/2025 n° 16133
Area: Giurisprudenza
Il limite orario di assenze annuali ex art. 14 d.P.R. 122/2009 è valicabile in presenza di due requisiti: 1) straordinarie e documentate giustificazioni delle assenze ultronee; 2) possibilità, anche in presenza del superamento del limite, di valutazione del rendimento scolastico. La non ammissione alla classe successiva, infatti, non può basarsi sul mero superamento del limite di assenze quando sussistano elementi sufficienti per procedere alla valutazione dell'alunno e questi abbia comunque conseguito risultati positivi nelle prove di verifica, dimostrando il raggiungimento degli obiettivi formativi. In tali casi il Consiglio di classe è tenuto a considerare la possibilità di una deroga individualizzata al limite massimo di assenze consentito, ulteriore rispetto alle deroghe generali già previste non sussistendo un limite minimo legale e invalicabile di frequenza ma dovendo lo stesso adattarsi sempre al singolo caso di specie. Pertanto, è illegittima la non ammissione alla classe successiva della studentessa ricorrente, destinataria di un PDP, in quanto la patologia riscontrata ed il piano terapeutico-riabilitativo predisposto rientrano certamente tra la cause giustificative della deroga prevista dall’art. 14 del citato d.P.R.. La studentessa, inoltre, aveva comunque partecipato con profitto alle giornate scolastiche escluse dagli impegni terapeutici, conseguendo un numero ordinario di valutazioni e un rendimento complessivo più che sufficiente. (Nel caso di specie una studentessa di scuola secondaria di secondo grado per seguire il piano terapeutico-riabilitativo definito dal locale dipartimento di salute mentale era costretta ad assentarsi da scuola nei giorni di martedì e giovedì e ad anticipare l’uscita nella giornata di lunedì, mentre nelle altre giornate partecipava con profitto all’attività didattica. Le assenze programmate erano quindi puntualmente giustificate né la scuola inviava alcuna comunicazione alla famiglia nel corso del secondo quadrimestre. In sede di scrutinio finale, la scuola non ammetteva l’alunna alla classe successiva con la motivazione “mancata frequenza” per l’intero secondo quadrimestre. Alla luce del principio espresso il TAR ha annullato la non ammissione alla classe quarta, con conseguente obbligo dell’Amministrazione resistente di rivalutazione, ad opera del Consiglio di classe, della posizione della minore.)
KEYWORDS
#istruzione secondaria di secondo grado#studenti: valutazione degli apprendimenti ed esami
Sentenza 10/09/2025 n° 1292
Area: Giurisprudenza
La non ammissione alla classe successiva nella scuola media inferiore anche a fronte di un quadro sull’andamento scolastico critico deve essere assistita da una più pregnante motivazione che non si limiti semplicemente a trarre le conclusioni e a dare contezza della “parziale o mancata acquisizione dei livelli di apprendimento in una o più discipline”, dato che quest’ultima ne costituisce un presupposto, ma non può essere la ragione determinante a fondamento della delibera di non ammissione alla classe successiva. La non ammissione è pertanto un’eccezione che si realizza solo all’esito negativo dell’esame predittivo e ragionato delle possibilità di recupero in più ampio periodo scolastico. Anche la presenza scolastica va valutata quale mero presupposto per un proficuo apprendimento dell’alunno ma se egli, nonostante le numerose assenze riportate, non evidenzi tuttavia problemi sul piano del profitto, tale presupposto non va interpretato con eccessiva severità, dal momento che una bocciatura motivata solo dal numero delle assenze potrebbe ingiustificatamente compromettere lo sviluppo personale ed educativo di colui che, dal punto di vista dell’apprendimento e dei risultati conseguiti rispetto agli insegnamenti impartiti, sarebbe stato altrimenti idoneo al passaggio alla classe successiva. Nel caso di specie la non ammissione dell’alunna è dunque illegittima, per carenza di motivazione, nella parte in cui si limita ad evidenziare le numerose assenze della minore e a precisare, con motivazione astratta e meramente formale, che “le pochissime valutazioni presenti risentono fortemente della mancata frequenza della studentessa e corrispondono a parziali e limitatissimi momenti in cui è stato possibile valutarla”, senza minimamente considerare la natura positiva delle stesse, ed omette di formulare, in maniera espressa e intellegibile, il giudizio prognostico sulla sussistenza o meno di concrete possibilità per la minore di recuperare eventuali deficit, colmandoli eventualmente nel corso del successivo anno scolastico. (Fattispecie nella quale un’alunna di scuola secondaria di primo grado, con problemi di salute e destinataria di un PDP, veniva bocciata per avere riportato durante l’anno scolastico 90 giorni di assenza, oltre alle ore di assenza per ritardata entrata e uscita anticipata, nonostante un rendimento accettabile in quanto in pochi casi aveva conseguito voti inferiori alla sufficienza e un comportamento in classe sempre adeguato.)
KEYWORDS
#istruzione secondaria di primo grado#studenti: valutazione degli apprendimenti ed esami
Sentenza 09/03/2021 n° 33
Area: Giurisprudenza
Nell’ordinamento italiano, la pratica della surrogazione di maternità è vietata dall’art. 12 della legge n. 40/2004 per ragioni di ordine pubblico internazionale. Tali ragioni impediscono che atti stranieri in contrasto con i valori considerati alla base dell’ordinamento giuridico, specie in materia di diritti umani, producano effetti in Italia. È per questa ragione, legata alla dignità della donna e alla necessità di impedire che si sfruttino situazioni di fragilità, che è impossibile trascrivere nei registri di stato civile italiani l’atto di nascita straniero che indica come genitori di un bambino i componenti della coppia (eterosessuale o omosessuale) che abbia fatto ricorso alla gestazione per altri all’estero. Ciò non toglie, però, che il minore in situazioni come questa cresca di norma con la coppia committente, che ha dato vita al processo che ha portato al suo concepimento. Per questo motivo, è necessario individuare una soluzione che assicuri che il bambino veda riconosciuto giuridicamente il proprio legame con chi se ne prende cura, e in particolar modo con il genitore che non abbia fornito il proprio apporto genetico alla fecondazione in vitro (c.d. genitore d’intenzione). Tutte le decisioni delle autorità relative ai minori devono infatti essere guidate dal principio del miglior interesse di quest’ultimo in relazione alla sua situazione concreta. Attualmente, l’unico strumento che consente di riconoscere giuridicamente il rapporto di filiazione che lega il bambino al genitore d’intenzione è l’adozione in casi particolari prevista dall’art. 44, comma 1, lettera d), della legge n. 184/1983. Si tratta di una forma di tutela che, però, non risulta del tutto adeguata rispetto alla necessità di garantire i diritti del minore perché presenta diverse criticità ed è subordinata ad un atto di volontà del genitore d’intenzione, che potrebbe sottrarsi alla propria responsabilità genitoriale e non procedere mai alla richiesta di adozione (in caso, ad esempio, di separazione della coppia). Spetta però al legislatore individuare forme di tutela più efficaci, restando invece fermo il divieto di trascrivere l’atto di nascita del minore che indichi anche il genitore d’intenzione dopo il ricorso alla maternità surrogata. Il vuoto di tutela non può infatti essere risolto con una declaratoria d’illegittimità costituzionale. (Nel caso in questione, la Corte costituzionale ha dichiarato inammissibili le censure dell’art. 12, comma 6 della legge n. 40/2004, dell’art. 64, comma 1, lettera g) della legge n. 218/1995 e dell’art. 18 del d.P.R. n. 396/2000 perché la materia appartiene alla discrezionalità del legislatore. Tali norme non consentono, secondo l’interpretazione consolidata, che possa essere riconosciuto in Italia il provvedimento giudiziario straniero che inserisce il genitore d’intenzione nell’atto di nascita del bambino nato a seguito di gestazione per altri all’estero con l’apporto biologico di un solo membro della coppia.)
KEYWORDS
#genitori: adozione, separazione, divorzio#genitori: responsabilità genitoriale
Sentenza 09/12/2025 n° 189
Area: Giurisprudenza
Il soggetto convenuto in giudizio avanti alla Corte dei Conti aveva ottenuto numerosi incarichi di supplenze presso diversi istituti scolastici, dichiarando di possedere una laurea Specialistica in “Ingegneria gestionale della logistica e della produzione”, preceduta da laurea triennale in “Ingegneria gestionale della logistica e della produzione”. Le supplenze venivano ottenute a volte presentando dichiarazioni sostitutive di atto notorio indicanti il possesso della laurea, oppure indicando di essere laureando in “Ingegneria delle automazioni”. Gli incarichi ricevuti consistevano nella docenza di Matematica e Fisica o di Scienze e tecnologie Informatiche presso un Liceo Scientifico e presso un Istituto Superiore, oltre a posti di “sostegno psicofisico” presso Istituti comprensivi, fino a Scienze e tecnologie elettriche ed elettroniche presso un Istituto superiore. Dai controlli effettuati, era dunque emerso che i titoli dichiarati dal convenuto non erano veritieri, né era mai stato “laureando” nel corso di laurea in Ingegneria delle automazioni, al quale non risultava neppure iscritto, in quanto lo stesso era in realtà munito del solo diploma di “perito in elettrotecnica e automazione”. Il convenuto si è difeso sostenendo di non aver agito con un intento fraudolento, ma per la necessità di trovare un’occupazione e con la convinzione di poter comunque svolgere con competenza e dedizione le mansioni richieste, aggiungendo di aver svolto le proprie mansioni con la massima dedizione, professionalità e passione, senza mai ricevere alcuna nota di demerito o lamentela da parte di dirigenti, colleghi, studenti o famiglie. La Corte dei Conti ha, in primo luogo, ritenuto pacifica la condotta, essendo stata ammessa dallo stesso convenuto e comunque chiaramente accertata dalle indagini svolte, così come ha ritenuto sussistente il nesso di causalità tra la condotta e il danno, e il rapporto di servizio (presupposto indefettibile perché possa sussistere la responsabilità erariale), essendosi esso instaurato di fatto, alla luce dell’illegittimità della costituzione del rapporto. Quanto all’elemento psicologico, la Corte ha ritenuto trattarsi di dolo, non essendo ragionevolmente possibile interpretare la condotta del convenuto se non come mossa dal chiaro intento di ingannare l’amministrazione al fine di ottenere incarichi di insegnamento in assenza del titolo abilitante. Per quanto concerne il danno, la giurisprudenza ritiene che una prestazione lavorativa resa da un soggetto privo del titolo di studio abilitante è, in linea di principio, priva di utilità per l’amministrazione, salvo che si tratti di attività meramente esecutive, nelle quali il contenuto professionalmente qualificato della prestazione attesa non è coinvolto, sicché si ammette una limitata utilità del lavoro svolto. Ciò non riguarda tuttavia il caso in esame, poiché l’attività di insegnamento è caratterizzata esclusivamente da un contenuto professionale elevato, tanto più pregnante per quei casi in cui l’ordinamento prevede, quale titolo di accesso, la laurea. In casi siffatti non può ragionarsi di un’utilità della prestazione, in quanto resa, appunto, da un soggetto radicalmente privo della professionalità richiesta per lo svolgimento dell’incarico. L’affermazione resta valida anche per quegli incarichi relativi alle classi di concorso A40 e A41, per i quali la difesa sostiene che il convenuto fosse comunque in possesso effettivo di un titolo di studio abilitante diverso da quelli falsamente dichiarati. La tesi è però palesemente contraddetta dalla semplice constatazione che il diploma posseduto sarebbe stato titolo abilitante per una classe di concorso (B015 - Laboratori di scienze e tecnologie elettriche ed elettroniche, profilo di Insegnante Tecnico Pratico (ITP) diversa da quelle alle quali il convenuto ha avuto accesso illecito, in cui, viceversa, il titolo richiesto era il diploma di laurea. Sull’importo del danno, la Corte ha osservato che, di regola, la quantificazione deve essere effettuata al lordo delle ritenute fiscali Irpef operate a titolo di acconto sugli importi liquidati; tuttavia nel caso in esame ha deciso di discostarsi da tale orientamento, ritenendo che le ritenute fiscali subite dal dipendente costituiscano comunque un vantaggio per l’Amministrazione, da considerare nella quantificazione del danno complessivo.
KEYWORDS
#responsabilità amministrativa
Sentenza 09/05/2025 n° 45
Area: Giurisprudenza
La vicenda in esame trae origine da un procedimento penale relativo a numerosi soggetti risultati in possesso di falsi diplomi, di differente grado e natura, emessi da un Istituto campano e utilizzati dagli indagati per l’ammissione o per l’avanzamento nelle graduatorie scolastiche per il personale docente o ATA. Il convenuto nel presente giudizio, in particolare, avrebbe ottenuto numerose supplenze presso istituti scolastici piemontesi accedendo alle graduatorie del personale ausiliario sulla base di un diploma professionale di “Operatore servizi di ristorazione-Settore sala/bar” conseguito presso l’istituto formativo sopra menzionato nel corso della sessione straordinaria di esami tenutasi nell’agosto 2013. Nel corso delle indagini del procedimento penale, tuttavia, emergeva che il codice identificativo della pergamena del diploma conseguito dal convenuto era falso, essendo tale pergamena già in precedenza legittimamente assegnata dall’Ufficio scolastico della Campania ad altro istituto. L’elemento soggettivo ritenuto sussistente è ovviamente quello del dolo, dal momento che le indagini avevano provato che la sessione straordinaria dell’agosto 2013, nella quale erano stati emessi tutti i diplomi risultati falsi, non si era invero tenuta, tanto che il Presidente e i docenti della commissione d’esame disconoscevano tutti le proprie sottoscrizioni sui verbali delle sedute, presentando denuncia-querela per falso. Il convenuto, del resto, in giudizio rimaneva contumace e in sede istruttoria non era stato in grado di fornire alcuna prova circa la regolarità del titolo. Tutto ciò dimostra la piena consapevolezza della falsità del diploma in capo al convenuto, con conseguente configurazione del dolo. Risultando provato che il convenuto non è mai stato in possesso di nessuno dei diplomi, richiesti ex art. 2, comma 5, lett. g) del D.M. n. 640/2017 (“Diploma di qualifica triennale rilasciato da un istituto professionale, diploma di maestro d’arte, diploma di scuola magistrale per l’infanzia, qualsiasi diploma di maturità, attestati e/o diplomi di qualifica professionali, entrambi di durata triennale, rilasciati o riconosciuti dalle Regioni”), la Corte dei Conti ha chiarito che la condotta posta in essere ha determinato causalmente l’indebito collocamento del convenuto in graduatoria e il conseguente illecito vantaggio economico derivante dalle illegittime assunzioni dallo stesso conseguite. In relazione alla quantificazione del danno, il convenuto ha percepito retribuzioni pari a euro 40.000 circa, ma la Corte dei Conti ha ritenuto di dover adattare al caso concreto il principio giurisprudenziale in base al quale, in tema di falsità del titolo di accesso, “la violazione delle norme imperative o di ordine pubblico espressione di precetti costituzionali e fondamentali in materia di buon andamento dell’attività amministrativa e di esercizio delle attività professionali (artt. 97, 33, co. 5, e 36 Cost.) è suscettibile di comportare la radicale nullità del contratto di lavoro stipulato per illiceità della causa o dell’oggetto (art. 1418 c.c.) che non consente di riconoscere nessuna utilitas derivante dalla prestazione resa in assenza di idoneo titolo di studio” (Corte Conti, II Sezione Centrale di Appello, n. 159/2024). Precisamente la Corte ha affermato che tale orientamento può trovare piena applicazione soltanto nei casi in cui si tratti di prestazioni altamente qualificate, dal momento che “quando l'amministrazione esige una prestazione professionale particolarmente qualificata per l'effettuazione della quale richiede il possesso di un particolare titolo di specializzazione, l'attività svolta dal soggetto privo delle cognizioni tecnico-culturali tassativamente prescritte non può ontologicamente produrre l'utilità che l'amministrazione aveva preventivato di conseguire in sede di stipula del contratto di lavoro” (Corte dei conti, Sez. II App., n. 7/2022). Invece, nei casi come quello in esame, nei quali si è in presenza di mansioni che non possiedano tale grado di qualificazione e competenza (nello specifico, proprie di un collaboratore scolastico e, dunque, limitate alla sorveglianza e pulizia degli spazi dell’istituto scolastico e alla vigilanza sugli alunni e sui locali, in collaborazione con i docenti), il principio generale deve necessariamente essere declinato diversamente, verificando se sussista in concreto una qualche utilità pubblica nella prestazione resa, pur in difetto di diploma. La Corte ha così riconosciuto sussistente una utilità, tenuto conto della natura non particolarmente elevata delle mansioni svolte, che non consente di azzerarne il valore, stimando un danno da minor qualità della prestazione resa, rispetto a quella attesa e rispetto a quella fornibile dai candidati legittimamente qualificati, pari al 75% della retribuzione percepita, e quindi corrispondente a una quantificazione del danno pari a circa euro 30.000.
KEYWORDS
#responsabilità amministrativa
Sentenza 08/05/2025 n° 547
Area: Giurisprudenza
In una scuola elementare, durante lo svolgimento delle attività scolastiche, un minore cadeva rovinosamente riportando la frattura dei due denti incisivi superiori. Il padre del minore promuoveva un giudizio civile diretto a chiedere il rimborso delle spese mediche e il risarcimento dei danni asseritamente subiti. Il Tribunale ha innanzitutto ribadito che la legittimazione passiva spetta al Ministero, ai sensi dell’art. 28 Cost., e non all’Istituto scolastico, in virtù della giurisprudenza consolidata, in base alla quale gli istituti scolastici hanno personalità giuridica e autonomia gestionale e amministrativa, ma restano organi dello Stato. Sotto il profilo della prescrizione, le azioni di responsabilità per i danni subiti dall’allievo, sia auto-cagionati che etero-cagionati, è di tipo contrattuale (rectius, da contatto sociale), con la conseguenza che la prescrizione è decennale ordinaria e non quinquennale. Come più volte ribadito dalla giurisprudenza, in caso di danno cagionato dall'alunno a se stesso (autolesione), la responsabilità dell'Istituto scolastico e dell'insegnante ha natura contrattuale (ex art. 1218 c.c.) poiché, quanto all'Istituto, l'accoglimento della domanda di iscrizione determina l'instaurazione di un vincolo negoziale dal quale sorge l'obbligo di vigilare sulla sicurezza e sull'incolumità del discepolo nel tempo in cui questi fruisce della prestazione scolastica in tutte le sue espressioni; quanto al precettore, tra insegnante e allievo si instaura, per contatto sociale, un rapporto giuridico nell'ambito del quale il primo assume anche uno specifico obbligo di protezione e vigilanza onde evitare che l'alunno si procuri da solo un danno alla persona. Dall’inquadramento di tali azioni nel novero della responsabilità contrattuale derivano importanti conseguenze in ordine all’onere della prova gravante, ai sensi dell’art. 2697 cod. civ., sul genitore attore. La scuola deve dimostrare che l’evento è stato determinato da causa non imputabile ovvero al di fuori della sfera di controllo dell'ente obbligato alla prestazione. Essendo la caduta avvenuta in classe, la responsabilità della scuola è, in linea astratta, evidente. Pur tuttavia, in tema di onere probatorio incombente alla parte attrice, il Tribunale ha precisato che il genitore avrebbe dovuto non semplicemente allegare l'inadempimento o l'inesatto adempimento dell'obbligazione di assistenza gravante sulla scuola, bensì dimostrare il nesso causale fra la condotta dell'obbligato inadempiente e il pregiudizio di cui chiedeva il risarcimento. In sostanza, è applicabile il regime probatorio previsto dall’art. 1218 c.c. ma con un atteggiamento particolare dell’onere della prova incombente sulla parte attrice, rispetto alla regola dettata per l’inadempimento in generale. Se per un verso, la responsabilità dedotta dall’attore ricade nell’alveo della responsabilità contrattuale (art. 1218 c.c.), per altro verso, la distribuzione dell'onere della prova fa sì che non possa dirsi sufficiente, al fine di vedere accolta la domanda risarcitoria, la mera allegazione dell'inadempimento. E’ pertanto necessaria la prova che il danno occorso all’alunno sia legato dal nesso di derivazione causale al comportamento inadempiente. Colui che si assume danneggiato ha, dunque, l'onere di dimostrare in concreto l'esistenza del nesso causale tra la condotta del soggetto asseritamente inadempiente e il danno di cui chiede il risarcimento. Ciò premesso, nel caso in esame, l’alunno era caduto in aula alla presenza di due insegnanti, ma il genitore, nel proporre la domanda risarcitoria, non ha fornito precise allegazioni dirette ad individuare la causa dell’evento dannoso nella mancanza di cautele da parte della scuola o comunque nelle condizioni di potenziale pericolosità dello stato dei luoghi. Inoltre, in fase di prova testimoniale, era emerso che le insegnanti avevano impartito adeguate regole di comportamento agli alunni, che la caduta era stata improvvisa e che non risultavano elementi probatori atti a dimostrare distrazioni, sbadataggini o sventatezze. In altri termini, la repentinità della caduta dette luogo al caso fortuito, nonostante la sorveglianza di ben due insegnanti, di cui una risultata trovarsi ad un metro di distanza dall’alunno. La caduta si verificò, dunque, per causa fortuita e, in quanto tale, essa si sottrasse all’intervento delle docenti presenti in classe, con conseguente infondatezza nel merito della domanda di risarcimento proposta dal genitore, per aver questi omesso di dimostrare, in concreto, la dinamica della caduta ed il nesso eziologico di tipo materiale. L’effetto di tale omessa dimostrazione si riverbera sull’onere probatorio posto a carico dell’Amministrazione, la quale, per tale ragione, non può dirsi onerata di fornire la prova liberatoria.
KEYWORDS
#infortunio scolastico#responsabilità civile
Sentenza 14/01/2025 n° 1025
Area: Giurisprudenza
L’art. 4 ter2 del D.L. 1 aprile 2021 n. 44, introdotto dall’art. 8 comma 4, d.l. 24 marzo 2022 n. 24, convertito in legge 19 maggio 2022 n. 52, ha previsto in maniera chiara una specifica disciplina per il personale docente ed educativo della scuola, che impone ai dirigenti scolastici di utilizzare il docente inadempiente all’obbligo vaccinale in attività di supporto all’istituzione scolastica, come delineata dalla contrattazione collettiva di settore. La legge di conversione 19 maggio 2022 n. 52 ha inoltre aggiunto al predetto art. 4 ter2 la seguente disposizione interpretativa “Il quinto periodo [cioè l’utilizzo del docente inadempiente in attività di supporto alla istituzione scolastica] si interpreta nel senso che ai docenti inadempienti si applica, per quanto compatibile, il regime stabilito per i docenti dichiarati temporaneamente inidonei alle proprie funzioni”. Trattandosi di norma di interpretazione autentica, essa ha efficacia retroattiva. Il dirigente scolastico, applicando la normativa vigente, in ossequio all’art. 4 ter, co. 3, d.l. n. 44/2021, ha disposto la cessazione del provvedimento di sospensione e la contestuale ripresa dell’attività lavorativa da parte della docente con la specificazione che, continuando a persistere l’assenza dell’assolvimento dell’obbligo vaccinale, la stessa non avrebbe ripreso l’attività didattica a contatto con gli studenti ma avrebbe svolto attività propria del personale ATA per 36 ore settimanali. Considerato poi che il personale ATA di regola svolge attività lavorativa anche durante i giorni di sospensione delle attività didattiche, non sussisteva alcun obbligo in capo alla dirigente di comunicare alla docente il dovere di prestare attività lavorativa anche durante la sospensione delle attività didattiche. Non può parlarsi di raddoppio dell’orario di lavoro, da 18 a 36 ore settimanali, in quanto l’orario di lavoro dei docenti, oltre alle 18 ore settimanali di svolgimento dell’attività di insegnamento (art. 28 CCNL), comprende ulteriori ore per le restanti attività relative allo specifico profilo professionale ossia, le cd. attività funzionali all’insegnamento (art. 29 CCNL). Assodata la legittimità dei provvedimenti della dirigenza scolastica, del tutto pacifica è l’assenza ingiustificata nei giorni lavorativi da parte della docente. In ogni caso, anche ove fosse stato illegittimo l’incremento dell’orario di lavoro settimanale disposto dal dirigente scolastico, la docente non poteva rifiutarsi, senza avallo giudiziario, di eseguire la prestazione richiestale, essendo ella tenuta ad osservare le disposizioni per l’esecuzione del lavoro impartite dal datore di lavoro, e potendo ella invocare l’art. 1460 c.c., rendendosi inadempiente, solo in caso di totale inadempimento del datore di lavoro o di inadempimento di quest’ultimo tanto grave da incidere in maniera irrimediabile sulle esigenze vitali del lavoratore (cfr. Cass. n. 12696/2012). Nel caso in esame non vi è stato alcun inadempimento da parte del Ministero né tantomeno un inadempimento tanto grave da incidere in maniera irrimediabile sulle esigenze vitali della lavoratrice.
KEYWORDS
#personale ata#personale dipendente: mansioni#personale dipendente: questioni retributive#personale docente#emergenza sanitaria covid-19
Sentenza 26/03/2025 n° 139
Area: Giurisprudenza
Il giudizio di non ammissione alla classe superiore è espressione di discrezionalità tecnica anche per quanto attiene alla votazione conseguita per la condotta, che esprime un giudizio ampio sulla maturità personale complessiva della persona, sulla sua capacità di interazione con l'ambiente, nonché sul grado di inserimento in quel sistema di valori che, in base della Costituzione, sono da considerarsi fondanti della società e del vivere civile. Il sindacato del giudice è, dunque, limitato ai soli profili di manifesta illogicità, difetto di istruttoria e di travisamento dei fatti, profili che devono ritenersi sussistenti nel caso di specie dal momento che la valutazione resa sulla condotta dell’alunno – che ha portato alla sua bocciatura in quanto inferiore a sei decimi - non è stata preceduta da un necessario approfondimento istruttorio, che avrebbe verosimilmente portato all’adozione delle più opportune misure per poter supportare i deficit psicologico-comportamentali mostrati dall’alunno e che il Consiglio di classe non ignorava. (Fattispecie nella quale uno studente di scuola secondaria di secondo grado non veniva ammesso alla classe successiva non per mancata acquisizione di sufficienti livelli di apprendimento in una o più discipline – avendo riportato una media complessiva pari a 7,37 – ma per la valutazione della “condotta” in relazione alla quale egli aveva conseguito la votazione di 5/10 a seguito di numerose sanzioni disciplinari riportate nel corso dell’anno. Il GA rileva come la scuola, pur consapevole del disturbo neurologico del minore - certificato da un centro medico privato in termini di iperattività – anziché avviare il percorso per l’adozione del piano didattico personalizzato e fornire allo studente gli ausili necessari per affrontare le alterazioni comportamentali, si era limitata ad adottare provvedimenti di natura sanzionatoria e, ad esito dello scrutinio finale, a non ammettere lo studente alla classe successiva in ragione del voto di cinque decimi attribuito per la condotta. Una simile valutazione appare però manifestamente illogica in quanto la votazione insufficiente, per essere logica e coerente, deve presupporre il libero e consapevole dominio delle proprie azioni da parte dello studente che, quindi, volontariamente e coscientemente sceglie di “rispettare” oppure “trasgredire” le regole, aspetto che, però, manca nel caso di specie in cui il comportamento dell’alunno è il risultato di un verosimile deficit neurologico-comportamentale dello stesso.)
KEYWORDS
#istruzione secondaria di secondo grado#studenti: integrazione e disabilità#studenti: valutazione del comportamento
Ordinanza 05/03/2025 n° 5844
Area: Giurisprudenza
Ai sensi dell’abrogato art. 24 del D.Lgs n.196/2003 (applicabile ratione temporis al caso deciso) e, attualmente, del regolamento UE 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, non integra violazione della riservatezza la registrazione di una conversazione tra presenti in mancanza dell'altrui consenso, ove rispondente alle necessità conseguenti al legittimo esercizio del diritto di difesa in giudizio. Il diritto di difesa non è limitato alla pura e semplice sede processuale, estendendosi a tutte quelle attività dirette ad acquisire prove in essa utilizzabili, ancor prima che la controversia sia stata formalmente instaurata mediante citazione o ricorso. Il principio consacrato dall’art.24 del D.Lgs n.196/2003 e dalla successiva normativa eurounitaria è applicazione specifica del principio generale sancito nell'art. 51 cod. pen., secondo cui l'esercizio di un diritto o l'adempimento di un dovere imposto da una norma giuridica o da un ordine legittimo della pubblica Autorità, esclude la punibilità. La scriminante opera a prescindere dalla esatta coincidenza soggettiva tra i conversanti e le parti processuali, purché l'utilizzazione di tale registrazione avvenga solo in funzione del perseguimento di tale finalità e per il periodo di tempo strettamente necessario. (L’interessante ordinanza della Cassazione è stata pronunciata in relazione a una vicenda disciplinare in materia di personale medico. Era infatti accaduto che una Commissione medica di disciplina dell'Ordine provinciale dei medici chirurghi e degli odontoiatri di un comune italiano aveva inflitto a una professionista la sanzione della censura ex art. 40 punto 2) d.P.R. 221/1950 per violazione dell'art. 58 del Codice deontologico dei Medici, per avere costei avuto un comportamento scorretto, in violazione del dovere di rispetto reciproco e fiducia nei confronti di un collega. Invero, il medico aveva registrato senza autorizzazione una conversazione privata avuta con un collega in ambiente e orario di lavoro, allo scopo di utilizzarne il contenuto come prova contro il direttore della U.O.C., dalla medesima denunciato per abuso di ufficio e omissione di atti d'ufficio commessi in suo danno. Il medico che era stato registrato senza consenso aveva segnalato all'Ordine Provinciale la condotta della collega che, violando il suo diritto alla riservatezza, aveva irreparabilmente compromesso il loro rapporto fiduciario (la registrazione era stata depositata in Procura in un giudizio penale a carico del terzo). La Commissione centrale per gli esercenti le professioni sanitarie aveva confermato la sanzione irrogata, respingendo il ricorso della lavoratrice. La Corte di Cassazione, accogliendo parzialmente l’impugnazione della professionista, ha affermato che non è illecita la violazione del diritto alla riservatezza che si compendia nella registrazione di un colloquio fra colleghi, a cui partecipa chi registra, effettuata senza il consenso dell’interlocutore, finalizzata ad acquisire prove da utilizzare in sede giudiziaria. In sostanza, la scriminante individuata nell’art.24 del D.Lgs n.196/2003 impedisce di considerare deontologicamente scorretta la condotta osservata dal medico. Va segnalato che, secondo la Corte, il principio di cui al menzionato art.24 resta fermo anche a seguito dell’abrogazione della norma da parte del D.Lgs n.101/2018 (recante l’adeguamento del diritto nazionale a quello europeo in materia di privacy). In tal senso si richiamano l’art.6 del GDPR (lettera d: “il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica”; lettera f: “il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore”) e l’art.9 del medesimo regolamento ( lettera f: “il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali”) e ciò al netto dell’applicabilità residuale dell’art.51 c.p. . Suscita tuttavia qualche perplessità l’ulteriore passaggio dell’ordinanza in commento, laddove la Corte afferma che la scriminante opera a prescindere dall'esatta coincidenza soggettiva tra i conversanti e le parti processuali, purché l'utilizzazione di tale registrazione avvenga solo in funzione del perseguimento di tale finalità e per il periodo di tempo strettamente necessario. In realtà tale orientamento estensivo (che consente l’utilizzabilità della registrazione ai fini difensivi anche da parte di soggetti estranei all’originaria conversazione) è in linea con quanto già ritenuto in Corte di Cassazione - Sezione Prima - Ordinanza 16/09/2024 n° 24797 (https://web.spaggiari.eu/col/app/default/documento_dettaglio.php?id=3183&tipo_prov=leg&), laddove era stato dichiarata l’irrilevanza dell’identità di chi abbia eseguito la registrazione e della sussistenza di esigenze difensive in capo al suo autore materiale, dovendosi avere riguardo solo agli scopi in vista dei quali siano state utilizzate in concreto la conversazione registrata e le informazioni in essa contenute. In ogni caso, va rimarcato che, anche quando la registrazione è lecita, la sua diffusione a terzi non coinvolti nella conversazione, è vietata. Parimenti, la decisione in commento circoscrive l’utilizzabilità della registrazione ai fini difensivi, confermando il divieto di condivisione della registrazione con persone estranee e di diffusione della stessa sui social media).
KEYWORDS
#personale dipendente: procedimento e sanzioni disciplinari#privacy e trattamento dei dati personali#reato
Sentenza 14/10/2025 n° 2235
Area: Giurisprudenza
L’individuazione degli alunni con bisogni educativi speciali è di competenza esclusiva del Consiglio di classe (o del team dei docenti nella scuole primarie), il quale rimane autonomo, anche in presenza di richieste dei genitori accompagnate da diagnosi che però non danno diritto alla certificazione di disabilità o di DSA, nel decidere se formulare o meno un PDP, avendo cura di verbalizzare le motivazioni della decisione. Se, dunque, grava sul Consiglio di classe l’onere di individuare gli alunni con BES, gli alunni che presentano tali bisogni, però, non devono necessariamente essere promossi, ma possono esserlo qualora abbiano conseguito i risultati di apprendimento prefissati. La rilevata tardività e lacunosità degli interventi facilitatori posti in essere non può far diventare idoneo alla classe superiore uno studente che non ha raggiunto risultati accettabili sul piano del profitto. Sebbene sia possibile che, ove la scuola avesse adottato con maggiore tempestività le misure più idonee a favorire l’apprendimento del figlio del ricorrente, questo ultimo avrebbe potuto raggiungere la sufficienza in un numero accettabile di materie, ma nel momento in cui ciò non si è verificato la soluzione non può essere la sua promozione ope iudicis. (Il Giudice Amministrativo, dopo aver ricostruito la normativa vigente in materia di alunni con DSA e BES, respinge il ricorso presentato dal genitore di un alunno della classe prima di un Liceo scientifico non ammesso alla classe successiva all’esito degli esami di riparazione. Il genitore, in particolare, lamentava la tardiva attivazione e l’inadeguatezza del PDP, predisposto per il figlio solo nel mese di marzo dopo una sua formale istanza, nonostante il ragazzo fin dall’inizio dell’a.s. avesse palesato difficoltà nell’apprendimento. Successivamente al ragazzo veniva diagnosticato e certificato un funzionamento cognitivo inferiore alla norma, ma nessuna modifica veniva apportata al Piano, e al termine dell’a.s., riportate tre gravi insufficienze, l’alunno veniva sottoposto agli esami di riparazione con esito negativo. In applicazione del principio sopra esposto il GA ha osservato che il ricorrente non può pretendere che il figlio acceda alla classe superiore in ragione dell’insufficiente supporto ricevuto dall’istituzione scolastica, anche perché l’alunno si troverebbe ad affrontare non solo le difficoltà che nascono dall’esistenza dei suoi bisogni educativi speciali, ma anche gli ovvi problemi derivanti dalla preparazione lacunosa dell’anno precedente.)
KEYWORDS
#istruzione secondaria di secondo grado#studenti: integrazione e disabilità#studenti: valutazione degli apprendimenti ed esami
Sentenza 10/09/2025 n° 679
Area: Giurisprudenza
E’ legittima la mancata ammissione all’esame di Stato dell’alunno che abbia riportato nello scrutinio finale tre insufficienze, votazioni che risultano essere il frutto di valutazioni correttamente operate nel corso del pentamestre. Lo studente, infatti, ha ricevuto nel pentamestre un numero sufficiente di valutazioni (tre) in due nelle materie in questione, mentre nella terza ha effettuato soltanto due verifiche a causa delle assenze prolungate, per motivi di salute. Né può avere rilievo il fatto che una valutazione sia scaturita dalle osservazioni sistematiche durante il pentamestre, posto che, accanto alle modalità di verifica tradizionali, il ricorso alle osservazioni sistematiche è modalità legittima di valutazione del profitto dello studente espressamente prevista dal PTOF. Parimenti, non induce a diverse conclusioni la circostanza che il giudizio finale sia stato formulato a maggioranza e non all’unanimità, né che le insufficienze siano state registrate in materie non caratterizzanti dell’indirizzo scienze umane - mentre i docenti delle discipline fondamentali di tale indirizzo si erano espressi in senso favorevole all’ammissione - e nemmeno che due delle insufficienze riportate fossero lievi e attestassero comunque un miglioramento rispetto al trimestre, rimasto tuttavia sotto la soglia della sufficienza. La previsione di legge, infatti, non richiede che la decisione in ordine all’ammissione all’esame sia assunta all’unanimità, né contempla l’attribuzione di un peso diverso alle varie discipline, nè distingue in base al carattere più o meno grave delle insufficienze riportate; non è consentito neppure assumere che un voto relativamente prossimo alla sufficienza debba essere necessariamente arrotondato a sei, non esistendo alcun obbligo in tal senso e costituendo la votazione da attribuire allo studente espressione di discrezionalità tecnica non sindacabile nel merito. I problemi di salute sofferti dallo studente sono stati debitamente considerati dalla scuola tanto che le assenze documentate e continuative per malattia non sono state computate ai fini dell’ammissione all’esame di Stato. Tuttavia, nessuna previsione normativa consente al Consiglio di classe di prescindere dal profitto, che nella specie è risultato insufficiente, non costituendo le assenze per malattia una ragione di esonero dal necessario conseguimento del risultato minimo di profitto richiesto. La comunicazione tra l’Istituto e la famiglia risulta essere stata complessivamente idonea ad assicurare la conoscenza, tempo per tempo, della situazione scolastica del discente, sia tramite il registro elettronico, dal quale erano evincibili le votazioni e le annotazioni riguardanti il discente, sia attraverso i colloqui avuti dai genitori con una docente e con il Dirigente. Va altresì considerato che il ricorrente era maggiorenne sin dall’inizio dell’anno scolastico. A fronte di tale circostanza, anche una eventuale inadeguata soddisfazione delle esigenze informative dei genitori non potrebbe infirmare, di per sé, il giudizio di non ammissione dello studente all’esame di Stato. Tale giudizio riguarda, infatti, un individuo adulto, in grado di acquisire autonomamente ogni elemento utile ad autodeterminarsi, anche attraverso il contatto diretto con gli insegnanti. (Fattispecie nella quale uno studente dell’indirizzo di scienze umane, maggiorenne dall’inizio dell’a.s., aveva riportato nello scrutinio finale il voto di 4/10 in fisica, 5/10 in storia dell’arte e 5/10 in scienze naturali ed un voto di 6/10 in comportamento. Il TAR rileva come, ferma la legittimità delle valutazioni espresse, il caso di specie esuli dalla previsione – eccezionale - di cui all’art. 13, comma 2 lett. d) del d.lgs. 62/2017 che consente al Consiglio di classe, con adeguata motivazione, di ammettere all’esame conclusivo anche lo studente che presenti un voto inferiore a 6/10 in una disciplina o gruppo di discipline.)
KEYWORDS
#esami di stato#istruzione secondaria di secondo grado#studenti: valutazione degli apprendimenti ed esami
Sentenza 14/08/2025 n° 99
Area: Giurisprudenza
L’azione di responsabilità ha ad oggetto il caso di un docente di scuola superiore, già colpito per i medesimi fatti dalla sanzione disciplinare della sospensione dal lavoro per un mese, il quale ha esercitato attività imprenditoriale incompatibile con l’insegnamento, essendo risultato amministratore delegato e amministratore unico di tre distinte società di capitali (due delle quali in ambito della formazione e dei corsi di istruzione). Lo stesso era risultato altresì essere socio di tali società e aver ceduto alcune quote di una scuola paritaria alla propria compagna convivente, conservando tuttavia la gestione di fatto della scuola, facendosi parte attiva nella selezione dei docenti, nella stipula dei contratti e nella cura dei rapporti durante l’anno scolastico. La Guardia di Finanza, inoltre, nel corso delle indagini aveva accertato anche gravi irregolarità nel versamento dei contributi (con assunzioni c.d. “in nero” o “in grigio”) e fiscali. D’altro canto, era altresì emerso che il docente non aveva percepito alcun compenso per lo svolgimento di tali attività extraistituzionali. e che lo stesso aveva annualmente chiesto e ottenuto l’autorizzazione all’esercizio della libera professione di commercialista. La Corte dei Conti ha ritenuto l’insegnante responsabile per danno erariale, per aver esercitato attività incompatibile con il servizio pubblico alle dipendenze del Ministero dell’Istruzione. La giurisprudenza ha sinora distinto tra incompatibilità assoluta e incompatibilità relativa del pubblico dipendente allo svolgimento di attività esterne di tipo privatistico, e il caso in esame rientra nella prima ipotesi, di assoluta incompatibilità, in quanto essa è sancita a monte, senza alcuna possibilità di una valutazione in concreto della fattispecie da parte dell’amministrazione. Infatti, l’esercizio da parte del docente di attività di impresa, nella forma dell’amministrazione di varie società, costituisce attività non autorizzabile in senso assoluto, a nulla rilevando che annualmente lo stesso abbia chiesto e ottenuto dal Dirigente scolastico l’autorizzazione all’esercizio della libera professione di commercialista (generale divieto originariamente previsto all’art. 60, del d.P.R. n. 3/1957, Testo unico impiegati civili dello Stato, è confermato dal menzionato art. 53 del d. lgs. n. 165/2001##15L e ulteriormente rimarcato, per il personale scolastico, dall’art. 508, del d. lgs. n. 297/94). Nel merito, la Corte dei Conti della Toscana, andando di contrario avviso rispetto alla pronuncia n. 1/2025 del 25.1.2025 delle Sezioni Riunite della Corte dei Conti, ha ritenuto che in entrambe le ipotesi di incompatibilità assoluta e relativa indistintamente, debbano riconoscersi sussistenti, cumulativamente, sia il danno da mancata entrata per omesso riversamento alle casse dell’amministrazione di appartenenza dei proventi dell’attività vietata (ex art. 53, comma 7 e 7-bis, D.Lgs. n. 165/2001##15L), sia il danno da violazione del sinallagma contrattuale per violazione dell’obbligo di esclusiva del pubblico dipendente. Quanto al primo obbligo, a nulla rileva il titolo formalmente gratuito dell’attività di amministratore di società svolta dal docente, in quanto il dipendente è sempre tenuto a tale riversamento, dal momento che alcune attività, pur formalmente gratuite, determinano in modo indiretto la percezione di un lucro, quali sono quelle gestionali di società in cui si sia, al contempo, soci e, in quanto tali, percettori degli utili che si è contribuito a produrre con il proprio impegno lavorativo nell’amministrazione; ciò in quanto i proventi della società vengono prodotti proprio grazie all’attività di amministrazione posta in essere dal socio amministratore. Analogo discorso vale per la scuola paritaria le cui quote di partecipazione il docente aveva ceduto alla propria convivente, rimanendo comunque amministratore di fatto e co-gestore, poiché le situazioni di incompatibilità non possono essere superate dalla cessione delle quote sociali al coniuge o al convivente more uxorio, rimanendo ferma la presunzione di “comunità di intenti” tra i conviventi che fa presumere, appunto, che simili operazioni siano fittizie e volte all’elusione dei divieti normativi. Quanto al danno da violazione del sinallagma contrattuale, si osserva che il principio di esclusiva non si fonda unicamente sull’esigenza di garantire che le energie fisiche ed intellettuali del dipendente pubblico siano dedicate appieno al pubblico servizio (art. 98, comma 1, Cost.); ma anche che la prestazione di lavoro pubblico avvenga senza i condizionamenti che potrebbero derivare dall’esercizio di altre attività incompatibili, in modo da evitare ogni possibile contiguità dell’interesse privato incompatibile del dipendente con quelli pubblici di buon andamento della pubblica amministrazione. Ne discende che, accanto al danno da ridotto rendimento del dipendente, sarebbe configurabile anche un diverso e ulteriore danno, da violazione dell’obbligo della “fedeltà”, fondato, peraltro, su un principio di fonte costituzionale (art. 98 Cost.), che, con l’assunzione, va a costituire una delle obbligazioni che il dipendente assume nei confronti dell’amministrazione – datore di lavoro. In altri termini – nell’ambito del sinallagma contrattuale - la remunerazione riconosciuta al dipendente pubblico si pone come corrispettivo non solo della prestazione pattuita, corrispondente al ruolo e all’inquadramento e alle conseguenti funzioni da svolgere, ma anche della “fedeltà”, intesa come strumento necessario al perseguimento dei fini della neutralità e dell’indipendenza dell’azione amministrativa e quindi di quel buon andamento della PA, cui i pubblici dipendenti concorrono con il proprio lavoro (artt. 97, comma 2, e 98 Cost.). Ritenuto esistente il nesso causale, quanto all’elemento psicologico, è stato ritenuto sussistente nella forma del dolo desumibile sia dalla qualifica professionale del convenuto, professore di economia aziendale e commercialista libero professionista, rispetto alla quale non può ragionevolmente sostenersi una ignoranza del divieto del doppio lavoro e, nello specifico, dello svolgimento dell’attività di impresa; sia dall’avere questi evitato di farsi corrispondere una retribuzione in chiaro per l’esercizio della funzione di amministratore delegato nelle diverse società; sia dall’avere questi ceduto le quote sociali dell’istituto parificato alla compagna convivente, con modalità elusive, poco prima dell’assunzione nel pubblico impiego. Del resto, non è neppure ipotizzabile che il docente fosse stato indotto in errore in ordine alla possibilità o meno di svolgere l’attività di impresa contestatagli dalla procura erariale, dato che era addirittura sopravvenuta una circolare del dirigente scolastico diretta a tutto il personale docente, volta a dissipare incertezze applicative della disciplina, senza che il professore citato avesse ritenuto di dare esito, anche solo sollevando dubbi o quesiti al riguardo. Nella decisione, la Corte dei Conti ha condannato il docente a risarcire la somma di circa euro 42.000,00, soltanto per il mancato riversamento ai sensi dell’art. 53, commi 7 e 7-bis, del T.U.P.I., in virtù del principio di corrispondenza tra chiesto e pronunciato (art. 112 c.p.c.), avendo la Procura chiesto soltanto il danno da mancato riversamento dei proventi da attività incompatibile, e non anche il danno da violazione dell’obbligo di fedeltà. Nel concreto i giudici sono ricorsi alla valutazione equitativa, considerando il reddito d’impresa parametrato alla quota di partecipazione sociale del docente nelle varie società, tenuto conto che la partecipazione come socio agli utili di impresa costituisce un arricchimento conseguente all’impegno profuso nell’esercizio dell’attività di amministrazione e gestione incompatibili con il pubblico impiego e, quindi, una forma di ritorno economico validamente configurabile alla stregua di una retribuzione.
KEYWORDS
#personale dipendente: cumulo di impieghi e incompatibilità#responsabilità amministrativa
27/02/2025 n° 115
Area: Prassi, Circolari, Note
[doc. web n. 10126123]
Provvedimento del 27 febbraio 2025
Registro dei provvedimenti
n. 115 del 27 febbraio 2025
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore il dott. Agostino Ghiglia;
PREMESSO
1. Il reclamo.
Con reclamo presentato all’Autorità da un avvocato, in nome e per conto della sig.ra XX e del sig.XX, è stata lamentata la pubblicazione, ad opera di una docente della scuola primaria dell’Istituto comprensivo Statale Don Lorenzo Milani di Guidonia Montecelio (di seguito, l’Istituto), sul registro elettronico, del Piano educativo individualizzato (PEI) del figlio dei reclamanti.
2. L’attività istruttoria.
Con nota del XX (prot. n. XX) rispondendo alla richiesta di informazioni formulata da questa Autorità, la dirigente scolastica dell’Istituto, ha rappresentato, in particolare:
- “in data XX ricevo comunicazione da parte dell’avvocato […] di "segnalazione violazione regolamento privacy per illegittima diffusione dati sanitari del minore […]";
- “il legale afferma che “in data XX si è verificato un grave episodio di diffusione di dati sensibili giacché nella chat di classe, l’insegnante […] ha postato il Piano Educativo Individuale del figlio dei miei assistiti diffondendo dati sensibili che dovevano rimanere riservati in quanto afferenti allo stato di salute psicofisica del minore ed alle sue problematiche”;
- “venuta solo allora a conoscenza dell’episodio, avvio procedura interna di indagine con prot. ris. N. XX del XX, notando però che lo screenshot finito sulla chat ed allegato dall’Avvocato, è relativo alla pagina di accesso sul registro del genitore dell’alunno”;
- “alla richiesta di chiarimenti, la Docente prontamente produce relazione acquisita con prot. ris. n.XX del XX. Di seguito i fatti accertati. In data XX, durante l’incontro di programmazione settimanale, la […], docente di sostegno di […] della classe IIIE, inseriva all’interno del registro elettronico, sezione Condivisione Documenti, il PEI per condividerlo con i genitori del minore (…). Dalla tendina richiamava la voce alunni e docenti, inseriva il nome dell’alunno interessato ed erroneamente anche la classe (…), di conseguenza il PEI, è risultato visibile a tutti i genitori della IIIE. Questo avveniva intorno alle ore 18.00. Subito dopo la docente incontra la collega di classe che aveva già ricevuto la telefonata della [… reclamante] e si rende conto di aver commesso un errore; pertanto, alle 18.22 corregge la visualizzazione (…). In quel lasso di tempo, il genitore di […] ha visionato il registro, avvisato la signora […] e postato lo screenshot della pagina sulla chat di classe. (…). Nessuno, compreso la docente, ha ritenuto opportuno avvisare la scrivente o i miei collaboratori”;
- “è accertato che la docente […] ha commesso l’errore nella gestione della visualizzazione del documento, la diffusione dei dati è avvenuta dentro il registro, nell’ambito della classe del minore, non sulla chat dove l’informazione è stata divulgata dal citato genitore della classe. Avendo avuto notizia dell’infrazione 90 giorni dopo l’evento, la richiesta del file delle visualizzazioni al gestore del Registro elettronico comportava un esborso consistente in quanto istanza proveniente dall’Istituto e non da Autorità preposta; pertanto, non è stato possibile verificare se il documento fosse stato scaricato da qualche genitore. I dati personali violati erano costituiti dai codici della disabilità riportati in una sezione del PEI”;
- “la condivisione del PEI, con il genitore avviene nell’ambito della normativa a tutela della disabilità in particolare del XX del XX. La scelta del registro, come strumento rapido di condivisione, è relativa al processo di digitalizzazione dell’Amministrazione, la visibilità dei singoli documenti, è riservata esclusivamente ai docenti e ai genitori degli alunni interessati. Al Gestore del Registro, in occasione del rinnovo del contratto, viene dato l’incarico del trattamento dati”;
- “nessuna certificazione relativa a dati sanitari è stata e viene inserita nel registro. A seguito dell’infrazione accertata dalla scrivente, si è provveduto ad epurare dei codici i format dei PEI e PDP e a vietare la Condivisione di tali documenti attraverso il Registro o altro mezzo digitale”;
- “nel merito dell’illegittima diffusione dei dati avvenuta in data XX, è stato già coinvolto il Responsabile della Protezione dei dati designato dell’Istituto, […], con il quale sono state concordate le misure correttive”.
Sulla base degli elementi acquisiti, l’Ufficio ha notificato, con nota del XX (prot. n. XX), all’Istituto, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, in quanto la pubblicazione del PEI del figlio dei reclamanti e quello predisposto per un altro alunno, contenenti dati personali, anche relativi alla salute degli interessati, seppure avvenuta in un’area riservata del registro elettronico non accessibile a chiunque, avrebbe dato luogo, nel caso di specie, a una comunicazione di dati personali a terzi in violazione degli artt. 5, 6 e 9 del Regolamento e 2-ter e 2-sexies del Codice.
Pertanto l’Ufficio ha invitato il predetto titolare a produrre scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).
L’Istituto ha fatto pervenire le proprie memorie difensive, con nota del XX, (prot. n. XX), rappresentando, in particolare, che:
- “In data XX giunge reclamo da parte dell’Avvocato […] in merito alla diffusione di dati sensibili, il PEI, dell’alunno […] della classe IIIE primaria, nella chat di classe da parte dell’insegnante di sostegno […] avvenuta il giorno XX. Da indagini interne, avviate con prot. n. XX del XX, risulta che la diffusione dei dati da parte della docente non è avvenuta sulla chat di classe, ma all’interno del Registro in un’area riservata. La violazione contestata è durata un breve lasso di tempo, circa 22 minuti. Non si ha la prova che il documento sia stato scaricato in quanto lo screenshot allegato dall’Avvocato, prova soltanto la visibilità del documento nel Registro, ma non rivela il contenuto. Non è possibile, a distanza di così tanto tempo, ottenere il file log dal gestore del registro per verificare se e chi ha scaricato il PEI. Poiché il documento si trovava all’interno di un’area riservata del Registro, la visibilità era possibile solo ai genitori della classe IIIE, formata da 21 alunni. È impossibile determinare se in quei 22 minuti tutti abbiano fatto accesso al registro. Poiché non si ha prova riguardo l’apertura del documento da parte di soggetti terzi, la diffusione dei dati certa riguarda l’informazione che l’alunno […] ha un PEI, informazione nota a tutta la classe in quanto allo stesso era stata assegnata la docente di sostegno”;
- “la docente, per mero errore materiale, inserendo all’interno del Registro Elettronico, sezione Condivisione Documenti, il PEI per condividerlo con i genitori del minore […], fleggava non solo il nome dell’alunno interessato, ma anche la classe, di conseguenza il PEI, contrariamente alle intenzioni della docente, risultava visibile a tutti i genitori della IIIE. Dalla condotta della docente, supplente temporanea, non emerge nessuna intenzionalità di diffondere i dati del proprio alunno, ma solo un’imprudenza dovuta all’inesperienza e alla scarsa conoscenza del mezzo informatico. Supportata dai colleghi, ha immediatamente posto rimedio all’errore tanto che dopo solo 22 minuti la visualizzazione è stata corretta senza provocare nessun danno altrui”;
- è stata effettuata la “correzione immediata della visualizzazione sul Registro togliendo il flag alla classe. Contatto contestuale con la famiglia da parte della docente per scusarsi dell’accaduto. Disponibilità dell’Istituto ad incontrare la famiglia che ha sempre disdetto gli appuntamenti senza giustificare i motivi. Si osserva altresì che la discrasia è avvenuta il XX e, inspiegabilmente, la contestazione è stata effettuata il XX (oltre due mesi dopo l’accaduto). Appare evidente il carattere pretestuoso della richiesta che, a mente dell’art. 11, comma 1, lettera c del Regolamento n.1/2019 concernente le procedure interne aventi rilevanza esterna finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, avrebbe potuto comportare l’archiviazione del reclamo”;
- “Nessuna certificazione relativa a dati particolari viene inserita nel registro. A seguito dell’infrazione accertata dalla scrivente, si è provveduto ad epurare dei dati riconducibili alla salute i format dei PEI al fine di minimizzare l’uso dei dati particolari. Viene vietata la Condivisione di tali documenti attraverso il Registro o altro mezzo digitale. Il PEI viene consegnato brevi manu al genitore interessato. Essendoci all’Interno dell’Istituto un continuo movimento di personale temporaneo, si è programmato di reiterare la formazione sul trattamento dei dati personali”;
- “L’Istituto si è dotato, da tempo, del Compendio per le attività di trattamento dei dati personali e del Registro dei trattamenti predisposti insieme al DPO”;
- “innanzi tutto ribadire quanto stabilito dall’art. 11, comma 1, lettera c del Regolamento n.1/2019 in riferimento all’evidente carattere pretestuoso del reclamo: infatti, la violazione lamentata è accaduta il XX, la segnalazione alla scuola viene effettuata il XX – dopo due mesi dall’accaduto! -, quando la discrasia lamentata era stata sanata immediatamente (dopo 22 minuti) senza che nessun danno fosse stato arrecato all’alunno titolare del PEI. Si deve, inoltre, evidenziare che la diffusione dei dati, (di cui oltretutto non si ha certezza!) sarebbe avvenuta interessando soltanto gli appartenenti alla classe frequentata dall’alunno titolare del PEI che erano già a conoscenza della condizione dell’alunno in questione. In secondo luogo, giova qui ricordare che l’art. 83 del Regolamento (UE) 2016/679 correlato con il Codice in materia di protezione dei dati personali vigente, al comma 2, detta le condizioni generali per infliggere le sanzioni amministrative pecuniarie e così rappresenta la necessità che per ogni singolo caso si debba tener conto dei seguenti elementi:
a. “…Si osserva che vi è stata solo una presunta parte lesa ed il livello del danno subito è da ritenersi inesistente per l’immediato intervento da parte della docente che inopinatamente aveva creato il problema.
b. È evidente il carattere colposo della violazione, oltretutto commessa da una docente.
c. Come più volte detto, immediatamente sono state adottate misure che hanno reso inesistente qualsivoglia danno potesse derivare dalla discrasia commessa
d. Le misure tecniche e organizzative messe in atto da tempo fino ad ora hanno evitato il ripetersi di infrazioni equivalenti
e. Non si sono verificate precedenti violazioni commesse dal titolare o dal responsabile del trattamento dei dati
f. Non vi è stato bisogno di richiedere la cooperazione dell’Autorità di controllo in quanto, in modo autonomo, l’Istituzione aveva già posto rimedio alla discrasia (il problema è stato risolto dopo 22 minuti dall’accaduto e non si è più ripetuto)
h. Si presume che l’Autorità di controllo abbia preso conoscenza della violazione dai genitori dell’alunno interessato al Pei. Dalla Nota GPDP.Ufficio.Protocollo.XX, pervenuta all’istituzione ad XX, si evince che l’Autorità ha preso conoscenza mesi dopo di una violazione commessa diversi mesi prima.
i. Non sono stati mai disposti provvedimenti di cui all’art. 58 paragrafo 2 Regolamento del titolare del trattamento o del Responsabile del trattamento in quanto, non si sono mai in precedenza evidenziati violazioni di qualsivoglia tipo
j. L’Istituto è dotato di Compendio per le attività di trattamento dei dati personali e di Registro dei trattamenti”.
Nel corso dell’audizione tenutasi in data XX la dirigente scolastica dell’Istituto ha, altresì, dichiarato:
- “sono in servizio dal XX e ho condiviso con l’allora dirigente in servizio e il dpo gli elementi da fornire;
- l’evento si è verificato il XX, la dirigente è avvenuta a conoscenza dell’accaduto solo il XX quando ha ricevuto la nota del legale della famiglia dell’interessato, si è attivata subito consultando il dpo e verificando le conseguenze della pubblicazione; altresì ha sentito la docente interessata che ha relazione per iscritto le circostanze dell’evento verificatosi;
- Il documento è stato erroneamente pubblicato dalla docente che ha inserito la spunta di flag che ha determinato la visibilità del documento a tutti i genitori;
- La visibilità della comunicazione a tutti i genitori è stata disattivata dopo circa 20 minuti;
- L’unico genitore che ha letto la comunicazione ha condiviso uno screenshot dell’avviso di pubblicazione del documento a tutti gli altri genitori nella chat di classe senza tuttavia scaricarlo;
- In seguito un genitore dell’interessato ha avvisato le docenti dell’accaduto e pertanto la docente di sostegno ha provveduto subito a rimuovere l’avviso inserito;
- Ricevuta la nota del legale la dirigente ha invitato il legale e la famiglia ad incontrarsi per parlare delle conseguenze di tale comunicazione errata, ma tale incontro non è mai avvenuto perché la famiglia non ha mai aderito a tale invito;
- Insieme al dpo l’allora dirigente ha rivisto e modificato la modulistica e la modalità di condivisione del PEI con le famiglie coinvolte che non avviene più mediante RE ma esclusivamente in modalità cartacea;
- Nel mese di XX la dirigente è venuta a conoscenza che la famiglia dell’interessato ha proposto reclamo al Garante, dopo cioè circa 9 mesi dal verificarsi dell’evento;
- Non risulta che qualcuno abbia avuto modo di visualizzare o scaricare il documento, non è giunta nessuna segnalazione al riguardo;
- Era noto a tutta la classe che era stata nominata un’insegnate di sostegno per affiancare un alunno con disabilità”.
3. Esito dell’attività istruttoria.
3.1 Normativa applicabile.
Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il “Regolamento”), definisce “dato personale”, “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” e “dati relativi alla salute”, “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, punti 1 e 15, del Regolamento).
A norma del Regolamento il trattamento di dati personali effettuato in ambito pubblico è lecito quando è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, paragrafo 1, lett. c) ed e) e paragrafo 2 e 3 del Regolamento; art 2-ter del Codice).
Più in generale, la normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (…)” (art. 6, paragrafo 2 del Regolamento).
La disciplina nazionale ha introdotto disposizioni più specifiche per adeguare l’applicazione delle norme del Regolamento, determinando, con maggiore precisione, requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (art. 6, par. 2 del Regolamento) e, in tale ambito, ha previsto che le operazioni di trattamento che consistono nella “diffusione” e “comunicazione” di dati personali sono ammesse solo quando previste da una norma di legge, regolamento o atti amministrativi generali (art. 2-ter, del Codice).
Con riguardo alle categorie particolari di dati personali, il trattamento è, di regola, consentito ove “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. g), del Regolamento), a condizione che i trattamenti siano “previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato” (art. 2-sexies, comma 1, del Codice).
Il titolare del trattamento è poi tenuto a rispettare i principi in materia di protezione dei dati, tra cui quello di “liceità, correttezza e trasparenza” in base al quale i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato (art. 5, par. 1, lett. a) del Regolamento).
3.2 Esito dell’attività istruttoria.
Da quanto emerge dal reclamo in oggetto, nonché dall’accertamento compiuto sulla base degli elementi acquisiti a seguito dell’attività istruttoria e dalle successive valutazioni di questo Dipartimento, risulta che un’insegnante dell’Istituto ha reso disponibile, nella sezione del registro elettronico accessibile a tutti i genitori della classe 3, sez. F della scuola primaria dell’Istituto, il Programma educativo individualizzato riguardante i ragazzi con disabilità (PEI) elaborato per il figlio dei reclamanti.
Tale documento sarebbe stato visibile sul registro elettronico per circa ventidue minuti, in quanto successivamente l’insegnate avrebbe modificato le modalità di visualizzazione e avrebbe limitato la visibilità dello stesso ai soli genitori dell’alunno interessato.
L’immagine/screenshot dell’avviso di visibilità del Pei sul registro sarebbe stato, inoltre, pubblicata dal genitore di un alunno della 3 sez. F sulla chat di classe senza tuttavia scaricare e condividere il documento nella chat.
Con riguardo al profilo relativo alla messa a disposizione sulla chat di classe del richiamato documento, si evidenzia che la creazione, da parte di alunni, genitori o rappresentanti di classe, di chat di cui fanno parte i genitori degli studenti e l’utilizzo di tali strumenti come canali di comunicazione di notizie riguardanti i diversi aspetti della vita scolastica, non risulta riconducibile alle attività istituzionali o didattiche poste in essere dall’Istituto scolastico come titolare del trattamento. La creazione di chat di classe o gruppi whatsapp è infatti riconducibile ad autonomi comportamenti posti in essere da privati, dei quali la scuola non è tenuta a rispondere.
Con riguardo al diverso profilo relativo alla messa a disposizione dei due PEI sul registro elettronico da parte dell’insegnante si osserva quanto segue.
In via preliminare si osserva che, ai sensi dell’art. 4 par.1, n. 15 del Regolamento sono considerati dati relativi alla salute “i dati personali attinenti alla salute fisica e mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni sul suo stato di salute”.
Al riguardo si rappresenta che il PEI ossia il Programma educativo individualizzato riguardante i ragazzi con disabilità, previsto dalla normativa di settore in materia di disabilità, “è il documento nel quale vengono descritti gli interventi integrati ed equilibrati tra di loro, predisposti per l'alunno in situazione di handicap, in un determinato periodo di tempo, ai fini della realizzazione del diritto all'educazione e all'istruzione” (cfr. art. 5, comma 1 d.p.r. 24 febbraio 1994) e comprende una pluralità di informazioni relative alla condizione di disabilità del ragazzo per il quale tale documento è predisposto tra cui una apposita sezione dedicata ai dati relativi alla Diagnosi funzionale.
Tale documento è elaborato e approvato dal Gruppo di lavoro operativo per l'inclusione scolastica e le informazioni relative alla stesura o verifica del PEI recanti l’indicazione del nominativo dell’alunno per il quale tale documento viene stilato, possono essere fornite solo ai genitori dello studente interessato, ai docenti della classe di appartenenza di quest’ultimo e ai soggetti individuati dalla normativa di settore, coinvolti nell’intervento terapeutico e formativo seguito dall’alunno stesso (cfr. artt. 7 e 9, comma 10, d.lgs. 13 aprile 2017, n. 66).
In particolare, si osserva che, sebbene la pubblicazione del PEI in questione sia avvenuta in un’area riservata del registro elettronico, non accessibile a chiunque e tale da determinare una diffusione di dati personali, la conoscibilità dei dati ivi contenuti è avvenuta, ancorché per un errore materiale, comunque in favore di un novero determinato o determinabile di soggetti, essendo tale area riservata accessibile a tutti i genitori della classe di riferimento (cfr. la definizione di “comunicazione” di dati personali contenuta nell’art. 2-ter comma 4 lett. a), del Codice), dando luogo ad una comunicazione di dati personali anche relativi alla salute degli interessati.
Alla luce delle considerazioni che precedono l’Istituto ha reso conoscibile in modo ingiustificato a soggetti terzi, dati personali, anche relativi alla salute, del figlio dei reclamanti. Né può essere ritenuto rilevante, ai fini della valutazione della complessiva condotta del titolare del trattamento quanto dichiarato in merito al fatto che “gli appartenenti alla classe frequentata dall’alunno titolare del PEI (…) erano già a conoscenza della condizione dell’alunno in questione”.
Per tali ragioni l’Istituto, ancorché a seguito di un mero errore, ha posto in essere un trattamento di dati personali, in violazione degli artt. 5, 6, 9 del Regolamento e 2-ter e 2-sexies del Codice.
4. Conclusioni.
Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Pertanto, si confermano le valutazioni preliminari dell'Ufficio e si rileva l'illiceità del trattamento di dati personali effettuato dall’Istituto, in violazione degli artt. 5, 6 e 9 del Regolamento nonché dell’art. 2-ter e 2-sexies del Codice.
Ciò premesso, tenuto conto che:
- il titolare del trattamento è un istituto scolastico e, pertanto, un soggetto di ridotte dimensioni;
- l’evento si è verificato in quanto la docente per un mero errore materiale ha inserito la spunta di un flag che ha determinato la visibilità del documento a tutti i genitori della classe;
- la visibilità della comunicazione a tutti i genitori è stata disattivata dopo appena 22 minuti;
- i genitori della classe, mediante pubblicazione nella chat dello screenshot inerente alla pubblicazione del PEI, sono venuti a conoscenza della disponibilità del PEI sul registro elettronico ma non risulta invece comprovato che i genitori abbiano effettivamente preso visione del contenuto del PEI stesso, pertanto, la comunicazione dei dati riguarda l’informazione che il reclamante ha un PEI, senza conoscere il contenuto dello stesso;
- la dirigente scolastica ha invitato la famiglia ad incontrarsi per parlare di quanto accaduto ma la famiglia non ha mai aderito all’invito;
- il titolare del trattamento ha prestato piena collaborazione all’Autorità nel corso dell’istruttoria;
- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento;
le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi dell’art. 83, par. 2, del cons. 148 del Regolamento e delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25 maggio 2018.
Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per avere violato gli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento nonché dell’art. 2-ter e 2-sexies del Codice.
Considerato che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019. con conseguente annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.
TUTTO CIÒ PREMESSO IL GARANTE
- ai sensi dell’art. 57, par. 1, lett. f), dichiara illecita la condotta tenuta dell’Istituto comprensivo Statale Don Lorenzo Milani di Guidonia Montecelio, con sede in via Marco Aurelio, 2 - 00012 Guidonia Montecelio (Roma) - Codice Fiscale: 86003270583, descritta nei termini di cui in motivazione, consistente nella violazione degli artt. artt. 5, par. 1, lett. a), 6 e 9 del Regolamento nonché dell’art. 2-ter e 2-sexies del Codice;
- ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce l’Istituto Comprensivo Statale Don Lorenzo Milani quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento, nonché dell’art. 2- ter e 2-sexies del Codice;
DISPONE
- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante;
- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 27 febbraio 2025
IL PRESIDENTE
Stanzione
IL RELATORE
Ghiglia
IL SEGRETARIO GENERALE
Mattei
KEYWORDS
#privacy e trattamento dei dati personali
27/02/2025 n° 117
Area: Prassi, Circolari, Note
[doc. web n. 10118264]
Provvedimento del 27 febbraio 2025
Registro dei provvedimenti
n. 117 del 27 febbraio 2025
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore il dott. Agostino Ghiglia;
PREMESSO
1. Il reclamo.
L’Autorità ha ricevuto una segnalazione con la quale la segnalante ha lamentato di aver ricevuto in più di un’occasione, e precisamente, in data XX e in data XX al proprio indirizzo e-mail la convocazione relativa ad una riunione del Gruppo di Lavoro Operativo per l’inclusione scolastica (GLO) organizzato dall’Istituto Comprensivo “Maria Grazia Cutuli” di Roma (di seguito, l’Istituto), pur non “essendone interessata né come personale dell’Istituzione scolastica, né come parte del Gruppo Lavoro né per qualsiasi altra motivazione”. La richiamata convocazione sarebbe infatti dovuta, secondo quanto segnalato ad un caso di “omonimia con un componente del gruppo di lavoro”.
2. L’attività istruttoria.
Con nota del XX (prot. n. XX), l’Istituto ha fornito riscontro alla richiesta di informazioni formulata dall’Autorità, rappresentando, in particolare, che:
- “la segnalante è soggetto aspirante personale ATA che può ritenersi soggetto affidabile in base a quanto previsto da European Data Protection Board che, nelle sue linee guida sul data breach, afferma: Il fatto che il titolare del trattamento sappia o meno che i dati personali sono nelle mani di persone le cui intenzioni sono sconosciute o potenzialmente dannose può incidere sul livello di rischio potenziale. Prendiamo una violazione della riservatezza nel cui ambito i dati personali vengono comunicati a un terzo di cui all’articolo 4, punto 10, o ad altri destinatari per errore. Una tale situazione può verificarsi, ad esempio, nel caso in cui i dati personali vengano inviati accidentalmente all’ufficio sbagliato di un’organizzazione o a un’organizzazione fornitrice utilizzata frequentemente. Il titolare del trattamento può chiedere al destinatario di restituire o distruggere in maniera sicura i dati ricevuti. In entrambi i casi, dato che il titolare del trattamento ha una relazione continuativa con tali soggetti e potrebbe essere a conoscenza delle loro procedure, della loro storia e di altri dettagli pertinenti, il destinatario può essere considerato “affidabile”. In altre parole, il titolare del trattamento può ritenere che il destinatario goda di una certa affidabilità e può ragionevolmente aspettarsi che non leggerà o accederà ai dati inviati per errore e che rispetterà le istruzioni di restituirli. Anche se i dati fossero stati consultati, il titolare del trattamento potrebbe comunque confidare nel fatto che il destinatario non intraprenderà ulteriori azioni in merito agli stessi e restituirà tempestivamente i dati al titolare del trattamento e coopererà per garantirne il recupero. In tali casi, questo aspetto può essere preso in considerazione nella valutazione del rischio effettuata dal titolare del trattamento in seguito alla violazione; il fatto che il destinatario sia affidabile può neutralizzare la gravità delle conseguenze della violazione, anche se questo non significa che non si sia verificata una violazione. Nel caso in esame, è evidente che il soggetto che, per mero errore ha ricevuto i dati è soggetto affidabile risultando pressoché azzerato il livello di rischio”;
- “come emerge in modo evidente dagli allegati uniti alla segnalazione, nessun dato sensibile/particolare è stato diffuso. Si tratta solo di informazioni che possono portare ad assunzioni di carattere molto generico, ma nessuna informazione di dettaglio. Sono difatti presenti i nomi dei docenti, dei terapisti e dell’alunno, ma nulla sulla tipologia di disturbi dello stesso. A tal riguardo, vale la pena di ricordare che, secondo le linee guida di ENISA dal titolo “Recommendations for a methodology of the assessment of severity of personal data breaches”, il livello di rischio in simili situazioni è quasi azzerato, proprio per via del fatto che nessun dato personale è presente ma solo assunzioni generali. Nel caso in esame, è chiaro che nessun dato di dettaglio è stato comunicato e, comunque, anche qualora vi fossero dati di dettaglio, il soggetto ricevente ricordiamo essere soggetto “affidabile”, circostanza questa che assieme a quanto appena evidenziato, rende nullo il rischio”;
- “si evidenzia come l’invio sia stato fatto per mero errore materiale da soggetto autorizzato e regolarmente formato. E’ solo per errore che è stata inviata la comunicazione al segnalante. Non di certo per volontà o per iscrizione ad una newsletter. Un errore materiale, purtroppo sempre possibile, ma reso meno grave alla luce delle circostanze sopra evidenziate”.
Sulla base degli elementi acquisiti, l’Ufficio ha notificato, con nota del XX (prot. n. XX), all’Istituto, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5, 6 e 9 del Regolamento, degli artt. 2-ter e 2-sexies del Codice invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).
L’Istituto ha fatto pervenire le proprie memorie difensive, con note del XX (prot. n. XX) e del XX (prot. n. XX), rappresentando, in particolare, che:
- “La segnalante ha lamentato di aver ricevuto SOLTANTO n. 2 mail di convocazione al GLO, a lei dalla scuola erroneamente destinate. E’ sin troppo evidente che anche ove tutto ciò venisse accertato, si tratterebbe di un mero errore materiale. Si precisa poi che le convocazioni al GLO non contengono riferimento a dati sensibili ma solo quelle che ENISA ed EDPB chiamano “general assumption”;
- “NESSUN DATO SENSIBILE è presente nelle convocazioni. Vi è solo il riferimento alla convocazione GLO, senza dettaglio alcuno. Pertanto è evidente che la casistica rientra a pieno titolo nella categoria delle “general assumption” indicate come sopra da ENISA”;
- “rispetto all’Art. 83. Par. 2 Lett. b), occorre rilevare come in segreteria il numero di persone in organico di diritto ammonti a cinque unità dal XX ma che le procedure amministrative afferenti alla gestione degli alunni disabili siano diventate più complesse, in particolare negli ultimi tre anni, ciò dovuto tanto all’aumento esponenziale dei casi di alunni con disabilità certificata, quanto all’ammontare di operatori coinvolti e di momenti di confronto necessari a garantire la massima inclusione dei più fragili. Ciononostante, l’asserito errore in esame ha riguardato, si ribadisce, SOLO 2 invii di mail, le quali contenevano NON dati sensibili inerenti la salute, ma “general assumption” così come definite da ENISA”;
- “rispetto all’art. 83, par. 2, lett. c) e d), le misure intraprese da questa istituzione scolastica per attenuare le conseguenze della violazione e le misure tecniche e organizzative specifiche messe in atto ai sensi degli articoli 25 e 32: Indicazione dei soggetti interessati, con particolare riferimento agli alunni con disabilità, mediante le sole iniziali di nome e cognome; Assoluta mancanza di riferimento a codici sanitari in grado di identificare la tipologia di disabilità degli studenti disabili, ma esclusivamente classe e sezione frequentata; Controllo sistematico e periodico della rubrica di riferimento della posta elettronica in uso all’istituzione al fine di azzerare margini di errore dovuti a omonimia; Formazione, informazione e aggiornamento continuativo e periodico del personale e di tutti gli stakeholder dell’istituzione, anche mediante il coinvolgimento del DPO sia digitalmente che in presenza; Controllo dell’uso dei dati presenti su materiale cartaceo riprodotto mediante macchina fotocopiatrice in uso all’istituzione, per una corretta gestione del materiale; La dicitura in calce ad ogni corrispondenza in uscita per come segue: “Le informazioni contenute nella presente comunicazione e i relativi eventuali allegati possono essere riservate e sono, comunque, destinate esclusivamente alle persone o alle Società sopraindicate. La diffusione, distribuzione e/o copiatura del documento trasmesso da parte di qualsiasi soggetto diverso dal destinatario è proibita ai sensi GDPR (Regolamento UE 679/16). Se questo messaggio vi è stato inviato per errore, vi preghiamo di distruggerlo e di informarci immediatamente per telefono allo (…) o per e- mail: (…)”;
- “rispetto all’art. 83, par. 2 lett. f), l’istituto, nella persona del Titolare del Trattamento dei Dati, garantisce una piena e tempestiva cooperazione con l’Autorità per porre rimedio alla violazione al fine di attenuarne i possibili effetti negativi”;
- “la presenza di dati sanitari non può che ricondurre all’alveo dell’art 9 GDPR. Tuttavia, si ribadisce che la convocazione al GLO non contiene indicazioni di dettaglio, bensì solo dati che indirettamente lasciano presagire che lo studente potrebbe avere un bisogno specifico. Non viene però detto nulla su quali difficoltà egli abbia o su decisioni riguardanti esso”;
- “rispetto all’Art. 83, par. 2, lett. i), si evidenzia come non sia mai intercorsa la necessità di attuare prescrizioni, limitazioni o divieti disposti dal Garante, non essendo stata ad oggi rilevata alcuna violazione del Regolamento; ciò in quanto la scrivente Dirigente Scolastica, dall’a.s. XX, e dapprima la DSGA in servizio fino al XX e i due DSGA in servizio dal XX ad oggi, hanno sempre posto particolare attenzione dapprima alle procedure utili e necessarie a garantire la precisa osservanza delle disposizioni stabilite dal D.lgs. 196/2003 e successivamente dal Regolamento generale sulla protezione dei dati n. 2016/679 e norme attuative correlate, seppur con le esigue risorse umane e finanziarie disponibili, nonostante l’estensione del numero e del tipo di dati ritenuti meritevoli di protezione da parte dell’ordinamento, l’aumento delle competenze delle istituzioni scolastiche in merito tanto agli alunni quanto al personale e dei rapporti tra quelle e gli altri soggetti istituzionali ed operatori privati con cui si garantiscono esperienze formative, lavorative e umane mediante rapporti e collaborazioni sempre più complessi”;
- “sul punto si ricorda che il soggetto segnalante, è da ritenersi “soggetto affidabile”. Tale circostanza è chiaramente determinante nell’identificare il livello di rischio per i dati dei minori presenti nelle DUE convocazioni giunte erroneamente alla segnalante. Sull’importanza dell’affidablità del destinatario nella determinazione del rischio, si riporta EDPB (già WP28) in Linee guida sulla notifica delle violazioni dei dati personali ai sensi del regolamento (UE) 2016/679”.
Nel corso dell’audizione, tenutasi in data XX, l’Istituto ha altresì dichiarato:
- “ad integrazione di quanto già in atti, (… si) descrive la presenza di elementi che giocano a favore della riduzione della gravità della comunicazione in esame. Nell’invio della comunicazione dei GLO non sono presenti elementi sensibili, ovvero i motivi per cui la persona è stata inserita in un GLO, vi è solo la convocazione dello stesso. La violazione c’è stata ma la convocazione del GLO è molto generica (patologie possibili, ad es. diabete o schizofrenia) anche sulla base di quanto contenuto nelle linee guida ENISA”;
- “le Linee guida EDPB sostengono che quando il destinatario dell’illecita comunicazione è affidabile, tale affidabilità può neutralizzare le conseguenze della violazione”;
- “nei documenti allegati dalla segnalante, in particolare, nelle mail ricevute (condivise durante la seduta ZOOM), c’erano dei destinatari in CCN, questo testimonia un livello alto di attenzione da parte dell’Istituto. Il personale dell’Istituto è formato e sensibilizzato in materia di protezione dei dati personali”;
- “si è trattato di un errore materiale ma l’Istituto ha fatto tutto ciò che poteva fare in termini di formazione e sensibilizzazione del personale”;
- “l’istituto aveva pensato di minimizzare le comunicazioni in relazioni al GLO (es. iniziali di nome e cognome dell’alunno, ma il numero degli alunni con disabilità e i casi di omonimia avrebbero reso questa misura comunque non risolutiva)”;
- “la Parte (…) aggiunge che l’Istituto ha una media del 10% di alunni con disabilità che necessitano di GLO, questo comporta un lavoro aggiuntivo. Vi è stato, negli ultimi anni, un aumento di casi di disabilità e di procedure più complesse per la gestione delle stesse”.
3. Normativa applicabile.
3.1 Il quadro normativo.
Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il “Regolamento”), definisce “dato personale”, “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” e “dati relativi alla salute”, “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, punti 1 e 15, del Regolamento).
A norma del Regolamento il trattamento di dati personali effettuato in ambito pubblico è lecito quando è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, paragrafo 1, lett. c) ed e) e paragrafo 2 e 3 del Regolamento; art 2-ter del Codice).
Più in generale, la normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (…)” (art. 6, paragrafo 2 del Regolamento).
La disciplina nazionale ha introdotto disposizioni più specifiche per adeguare l’applicazione delle norme del Regolamento, determinando, con maggiore precisione, requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (art. 6, par. 2 del Regolamento) e, in tale ambito, ha previsto che le operazioni di trattamento che consistono nella “diffusione” e “comunicazione” di dati personali sono ammesse solo quando previste da una norma di legge, regolamento o atti amministrativi generali (art. 2-ter, del Codice).
Con riguardo alle categorie particolari di dati personali, il trattamento è, di regola, consentito ove “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. g), del Regolamento), a condizione che i trattamenti siano “previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato” (art. 2-sexies, comma 1, del Codice).
Il titolare del trattamento è poi tenuto a rispettare i principi in materia di protezione dei dati, tra cui quello di “liceità, correttezza e trasparenza” in base al quale i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato (art. 5, par. 1, lett. a) del Regolamento).
3.2 Il trattamento di dati personali effettuato dall’Istituto.
Dall’accertamento compiuto, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni del Dipartimento, risulta accertato che l’Istituto ha inviato, in due diverse occasioni, e in particolare in data XX e in data XX all’indirizzo e-mail della segnalante la convocazione relativa ad una riunione del Gruppo di Lavoro Operativo per l’inclusione scolastica (GLO) contenente l’indicazione del nominativo dell’alunno per il quale il GLO è stato organizzato, pur non essendo la segnalante una docente della classe o uno dei componenti del GLO.
In via preliminare si osserva che, ai sensi dell’art. 4 par.1, n. 15 del Regolamento sono considerati dati relativi alla salute “i dati personali attinenti alla salute fisica e mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni sul suo stato di salute”.
Stante la definizione di dato personale e di dato relativo alla salute (art. 4, punti 1 e 15, del Regolamento), si ritiene che la convocazione di una riunione del Gruppo di lavoro Operativo per l’inclusione scolastica, prevista dalla normativa di settore in materia di disabilità, rappresenti di per sé una informazione relativa allo stato di salute dell’alunno per il quale viene convocata.
Le informazioni relative alla convocazione del richiamato gruppo di lavoro, recanti in chiaro il nominativo dell’alunno per il quale sono state organizzate, possono essere comunicate solo ai genitori dello studente interessato, ai docenti della classe di appartenenza di quest’ultimo e ai soggetti individuati dalla normativa di settore coinvolti nell’intervento terapeutico e formativo seguito dall’alunno stesso (cfr. art. 9, comma 10, d.lgs. 13 aprile 2017, n. 66).
Alla luce delle considerazioni che precedono, l’Istituto, ancorché a seguito di un mero errore, inviando secondo le suddette modalità, le convocazioni delle riunioni del Gruppo di lavoro Operativo per l’inclusione scolastica contenenti l’indicazione del nominativo dell’alunno per il quale il GLO era stato organizzato, ha dato luogo a una “comunicazione” di dati personali anche relativi alla salute, in violazione degli artt. 5, 6, 9 del Regolamento e 2-ter e 2 sexies del Codice).
4. Conclusioni.
Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Pertanto, si confermano le valutazioni preliminari dell'Ufficio e si rileva l'illiceità del trattamento di dati personali effettuato dall’Istituto, in violazione degli artt. 5, 6 e 9 del Regolamento nonché dell’art. 2-ter e 2-sexies del Codice.
Ciò premesso, tenuto conto che:
- il titolare del trattamento è un istituto scolastico e, pertanto, un soggetto di ridotte dimensioni;
- l’istituto versa in difficili condizioni in quanto può disporre di un ristretto numero di personale di segreteria in organico a fronte di procedure riguardanti la gestione degli alunni disabili sempre più complesse e di un notevole aumento dei casi di alunni con disabilità certificata;
- la comunicazione di dati ha riguardato solo un numero ristretto di alunni;
- l’evento si è verificato per un mero errore materiale verificatosi al momento dell’invio delle e-mail;
- il titolare del trattamento ha prestato piena collaborazione all’Autorità nel corso dell’istruttoria;
- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento;
le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del cons. 148 del Regolamento e delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25 maggio 2018”.
Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per avere violato gli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento nonché dell’art. 2-ter e 2-sexies del Codice.
Considerato che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
TUTTO CIÒ PREMESSO IL GARANTE
- ai sensi dell’art. 57, par. 1, lett. f), dichiara illecita la condotta tenuta dall’Istituto Comprensivo “Maria Grazia Cutuli”, con sede in via Melizzano 94, 00132 Roma, Codice fiscale 97198130581, descritta nei termini di cui in motivazione, consistente nella violazione degli artt. artt. 5, par. 1, lett. a), 6 e 9 del Regolamento nonché dell’art. 2-ter e 2-sexies del Codice;
- ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce l’Istituto Comprensivo “Maria Grazia Cutuli” quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento nonché dell’art. 2- ter e 2-sexies del Codice;
DISPONE
- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante;
- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 27 febbraio 2025
IL PRESIDENTE
Stanzione
IL RELATORE
Ghiglia
IL SEGRETARIO GENERALE
Mattei
KEYWORDS
#privacy e trattamento dei dati personali
10/07/2025 n° 387
Area: Prassi, Circolari, Note
[doc. web n. 10167956]
Provvedimento del 10 luglio 2025
Registro dei provvedimenti
n. 387 del 10 luglio 2025
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, segretario generale reggente;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27/4/2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);
VISTO il d. lgs. 30/6/2003, n. 196 recante “Codice in materia di protezione dei dati personali” (di seguito “Codice”);
VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;
Relatore il dott. Agostino Ghiglia;
PREMESSO
1. Introduzione
Questa Autorità ha aperto un’istruttoria nei confronti del Comune di Langhirano a seguito di una segnalazione in ordine a una violazione della normativa in materia di protezione dei dati personali derivante dalla diffusione di dati personali sul sito web istituzionale del predetto Comune.
Nello specifico, dalla verifica preliminare effettuata dall’Ufficio, è emerso che sul sito istituzionale del Comune di Langhirano, nella sezione «Amministrazione trasparente», nell’area «Altri contenuti»/«Accesso civico», era possibile accedere a una pagina web (https://...) in cui erano presenti i seguenti file intitolati:
1. «Esito accesso atti XX - XX», contenente il registro delle richieste accesso agli atti riferite a 148 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https://...);
2. «Accessi anno XX», contenente il registro delle richieste accesso agli atti riferite a 258 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https://...);
3. «Accessi anno XX», contenente il registro delle richieste accesso agli atti riferite a 359 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https:...);
4. «Accessi anno XX», contenente il registro delle richieste accesso agli atti riferite a 213 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https://...);
5. «Accessi anno XX», contenente il registro delle richieste accesso agli atti riferite a 216 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https://...);
6. «Accessi anno XX», contenente il registro delle richieste accesso agli atti riferite a 194 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https://...);
7. «Accessi anno XX», contenente il registro delle richieste accesso agli atti riferite a 67 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https://...).
I citati documenti contenevano nel campo oggetto e mittente dati e informazioni personali, con specifica indicazione del nominativo del soggetto che ha effettuato la richiesta di accesso e della descrizione di quanto domandato con indicazione in molti casi dei dati personali dei soggetti cui si riferiscono gli atti richiesti. Solo per fare alcuni esempi, al riguardo, è emerso che nel campo oggetto era riportato: «richiesta diritto di accesso ai documenti relativi all’immobile posto XX di proprietà XX»; «accesso pratiche edilizie: XX e nominativo dell’intestatario della pratica XX»; ecc.).
2. La normativa in materia di protezione dei dati personali
Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).
I soggetti pubblici, come il Comune, possono diffondere «dati personali» nel rispetto della disciplina in materia di protezione dei dati personali (art. 2-ter, commi 1 e 3, del Codice) e – in ogni caso – del principio di «minimizzazione», in base al quale i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD).
Quanto al registro degli accessi, l’Autorità Nazionale Anticorruzione (ANAC) – nelle proprie Linee guida adottate d’intesa con il Garante – ha indicato la possibilità che venga istituito il predetto registro presso gli enti, specificando al contempo che il «registro contiene l’elenco delle richieste con l’oggetto e la data e il relativo esito con la data della decisione ed è pubblicato, oscurando i dati personali eventualmente presenti, e tenuto aggiornato almeno ogni sei mesi nella sezione Amministrazione trasparente, “altri contenuti – accesso civico” del sito web istituzionale» (par. 9, Determinazione n. 1309 del 28/12/2016 recante le «Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art. 5 co. 2 del d.lgs. 33/2013», in G.U. n. 7 del 10/1/2017 e in https://www.anticorruzione.it/-/determinazione-n.-1309-del-28/12/2016-rif.-1. Del medesimo tenore anche il par. 8.2.b. della Circolare del Ministro per la pubblica amministrazione n. 1 del 2019, recante «Attuazione delle norme sull’accesso civico generalizzato (c.d. FOIA)», in http://www.funzionepubblica.gov.it/sites/funzionepubblica.gov.it/files/Circolare_FOIA_n_1_2019.pdf).
Peraltro, occorre tenere in considerazione che la stessa disciplina statale in materia di trasparenza prevede espressamente che «Le pubbliche amministrazioni possono disporre la pubblicazione nel proprio sito istituzionale di dati, informazioni e documenti che non hanno l’obbligo di pubblicare ai sensi del presente decreto o sulla base di specifica previsione di legge o regolamento, nel rispetto dei limiti indicati dall’articolo 5-bis, procedendo alla indicazione in forma anonima dei dati personali eventualmente presenti» (art. 7-bis, comma 3, del d. lgs. n. 33 del 14/3/2013).
3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.
Dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che il Comune di Langhirano – diffondendo i dati e le informazioni personali prima descritti inseriti nei registri degli accessi pubblicati online – ha tenuto una condotta non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate al predetto Comune le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando l’amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentita da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).
4. Memorie difensive.
Il Comune di Langhirano, con la nota prot. n. XX del XX, ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.
Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».
Nello specifico, quanto alla condotta tenuta, l’amministrazione ha evidenziato, fra l’altro che:
- «Lo schema del registro accessi è stato predisposto nel XX dall’Amministrazione Comunale in ottemperanza agli adempimenti normativi in materia. L’ente pertanto si considera in perfetta buona fede ritenendo che detta predisposizione rappresentasse un congruo bilanciamento di interessi tra esigenze di pubblicità e riservatezza»
- «Si evidenzia pertanto che la pubblicazione del dato sia esclusivamente frutto di un’interpretazione ampia del principio di trasparenza anche il relazione al dibattito politico-culturale sul tema di quegli anni»;
- «Si evidenzia inoltre che non sono comunque in generale presenti dati ulteriori quali codice fiscale, indirizzo di residenza, numero civico, luogo, data di nascita o comunque elementi che possano identificare la persona fisica in maniera certa ed incontrovertibile»;
- «i dati pubblicati nella sezione di amministrazione trasparente afferenti il registro degli accessi, sono stati immediatamente rimossi dal gestionale in attesa degli sviluppi del caso»;
- non «sono mai pervenute segnalazioni, reclami o doglianze in generale» e non «risulta che da parte degli interessati siano mai state esercitate azioni volte alla tutela dei loro diritti […]»;
- «tutti i dati sono da ritenersi comuni eccezion fatta per un solo accesso afferente l’anno XX protocollo n.XX nel quale sono presenti categorie particolari di dati anche se, stante la casella “oggetto” e “mittente” si può addivenire solo in via indiretta a desumere una condizione relativa allo stato di salute di un soggetto. Cionondimeno per tutti i dati inseriti nelle tabelle non sono comunque presenti dati ulteriori come codice fiscale, indirizzo di residenza, numero civico, luogo e data di nascita. Non c’è altresì in generale coincidenza tra mittente ed oggetto e la mera indicazione di nome e cognome, non pare di per sé sufficiente ad identificare in maniera univoca il soggetto».
5. Valutazioni del Garante
La questione oggetto del caso sottoposto all’attenzione del Garante riguarda la diffusione di dati e informazioni personali, contenuti nei registri delle richieste accesso agli atti (anni XX) pubblicati online (di cui ai file identificati supra ai nn. 1-7 del par. 1).
I citati documenti contenevano nel campo oggetto e mittente dati e informazioni personali di centinaia di istanze con specifica indicazione di: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito. In particolare, è stata lasciato in chiaro il nominativo del soggetto che ha effettuato la richiesta di accesso e la descrizione di quanto domandato con indicazione in molti casi dei dati personali dei soggetti cui si riferiscono gli atti richiesti (es: «richiesta diritto di accesso ai documenti relativi all’immobile posto in XX di proprietà XX»; «accesso pratiche edilizie: XX e nominativo dell’intestatario della pratica XX»; ecc.).
Al riguardo, occorre evidenziare in via preliminare che la pubblicazione online nella sezione “Amministrazione trasparente” del sito web istituzionale (con conseguente indicizzazione nei motori di ricerca generalisti come Google) della circostanza di avere effettuato una richiesta di accesso presso un ente pubblico oppure quella riguardante il fatto che un soggetto abbia richiesto dati e informazioni riguardanti un terzo comporta la conoscenza generalizzata (tramite la diffusione) di informazioni di natura personale, che i soggetti interessati, per i motivi più vari, potrebbero non volere portare a conoscenza di soggetti estranei alla propria sfera personale e familiare, determinando una un’interferenza ingiustificata e sproporzionata nei relativi diritti e libertà.
Nell’ambito dell’istruttoria aperta al riguardo da questa Autorità, il Comune ha confermato, nelle proprie memorie difensive, l’avvenuta diffusione online dei dati personali descritti in assenza di una idonea base giuridica, riconducendo la propria condotta a «un’interpretazione ampia del principio di trasparenza anche il relazione al dibattito politico-culturale sul tema […]».
La ricostruzione offerta dall’ente chiarisce alcuni punti della questione ed è sicuramente utile ai fini della valutazione della condotta, ma non appare idonea a superare i rilievi critici mossi dall’Ufficio.
Si ricorda infatti che – per il rispetto del principio di trasparenza amministrativa delle pp.aa. di cui all’art. 1, comma 1, del d. lgs. n. 33/2013 – nessuna norma di settore prevede un obbligo di pubblicazione dei dati personali di coloro che hanno effettuato accessi ad atti e documenti oppure dei soggetti cui si riferiscono gli atti richiesti. A ciò si aggiunge che l’istituzione presso ogni amministrazione del registro delle richieste di accesso, oltre a essere solo raccomandato nelle Linee guida di ANAC e nella Circolare del Ministro per la pubblica amministrazione prima citate (cfr. supra par. 2), non implica come necessaria e proporzionata anche l’operazione di diffusione online dei dati personali/nominativi di coloro che hanno effettuato le richieste di accesso e dei soggetti a cui i documenti si riferiscono. Nelle citate Linee guida di ANAC è, infatti, specificamente riportato che è sufficiente inserire «l’elenco delle richieste con l’oggetto e la data e il relativo esito con la data della decisione», avendo cura – in sede di pubblicazione – di «oscura[re] i dati personali eventualmente presenti». Molto chiara, in tal senso, è anche la Circolare del Ministro per la pubblica amministrazione, laddove – sempre con riferimento alla compilazione del registro degli accessi – è analogamente raccomandato che «ciascuna amministrazione indicherà gli estremi delle richieste ricevute e il relativo esito, omettendo la pubblicazione di dati personali eventualmente presenti» (par. 8.2.b).
L’ampia interpretazione del principio di trasparenza sostenuta dal Comune non può quindi giustificare la diffusione di dati personali online, in quanto non soddisfa nessuno dei presupposti di liceità previsti dall’art. 2-ter del Codice. La condotta posta in essere risulta peraltro in contrasto con quanto previsto dall’art. 7-bis, comma 3, del d. lgs. n. 33/2013, che prevede effettivamente la possibilità che le pp.aa. possano pubblicare sul sito web istituzionale dati, informazioni e documenti che non hanno l’obbligo di pubblicare sulla base di specifica previsione di legge o regolamento, ma sempre «procedendo alla indicazione in forma anonima dei dati personali eventualmente presenti». La diffusione dei dati personali descritti e oggetto di contestazione non è, inoltre, conforme alle indicazioni contenute nelle Linee guida dell’ANAC in materia e nella Circolare del Ministro per la pubblica amministrazione, che indicano chiaramente la necessità di procedere all’oscuramento dei dati personali presenti nel Registro degli accessi, fra cui sono compresi anche i nominativi dei soggetti istanti e di coloro cui si riferiscono i documenti richiesti.
Analogamente, non può essere accolta l’eccezione sollevata dal Comune secondo la quale non vi sarebbe stata una violazione della disciplina in materia di protezione dei dati personali, in quanto – tenendo conto della circostanza che non sono stati diffusi accanto al nominativo dei soggetti interessati anche «dati ulteriori quali codice fiscale, indirizzo di residenza, numero civico, luogo, data di nascita» – non sarebbero stati diffusi «elementi che possano identificare la persona fisica in maniera certa ed incontrovertibile». Tale tesi è in contrasto con la disciplina europea in materia secondo la quale «dato personale» è, come detto, qualsiasi informazione riguardante una persona fisica identificata o identificabile e si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come, fra l’altro, proprio il «nome» (art. 4, par. 1, n. 1, del RGPD). Nel caso in esame, dall’istruttoria è emerso che il Comune ha pubblicato online proprio i nomi e cognomi dei soggetti interessati (soggetti che hanno effettuato l’accesso e talvolta anche soggetti a cui i documenti si riferiscono) contenuti nei registri degli accessi, ossia dati che identificano direttamente persone fisiche e rientrano, pertanto, sicuramente nella ricordata definizione di «dato personale» (indipendentemente dalla circostanza che siano accompagnati da ulteriori informazioni come codice fiscale, indirizzo di residenza, luogo e data di nascita).
Per altro verso, si rileva che, per stessa ammissione del Comune in almeno un procedimento i dati personali diffusi erano idonei a rivelare indirettamente anche la condizione di salute del soggetto interessato (art. 9 del RGPD), come nel caso della richiesta di accesso anno XX protocollo n. XX, avente a oggetto lo «stato pratica devoluzione contributo per rimozione barriere architettoniche - domanda presentata dalla sig.ra XX», con la conseguente violazione anche del divieto di diffusione di dati relativi alla salute previsto dall’art. 2-septies, comma 8, del Codice.
6. Esito dell’istruttoria relativa al reclamo presentato
Le circostanze evidenziate negli scritti difensivi del Comune, esaminate nel loro complesso, anche se sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non risultano sufficienti a consentire l’archiviazione del presente procedimento. Ciò in quanto, nel caso in esame, non ricorre alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019.
In tale quadro, si confermano le valutazioni preliminari dell’Ufficio con la nota prot. n. XX del XX e si rileva – conformemente ai precedenti di questa Autorità in materia (provv. n. XX del XX, in www.gpdp.it, doc. web n. 9784482; n. 281 del 22/7/2021, ivi, doc. web n. 9696645) – che il trattamento di dati personali effettuato dal Comune di Langhirano non è conforme alla disciplina rilevante in materia di protezione dei dati personali, in quanto la diffusione dei dati personali prima descritti contenuti nei registri delle richieste accesso agli atti (anni XX) pubblicati online (di cui ai file identificati supra ai nn. 1-7 del par. 1) è avvenuta in violazione:
1) delle disposizioni contenute dell’art. 2-ter, commi 1 e 3, del Codice; dell’art. 7-bis, comma 3, del d. lgs. n. 33/2013; dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD; nonché delle indicazioni contenute al riguardo nelle Linee guida dell’ANAC e nella Circolare del Ministro per la pubblica amministrazione (sopra richiamate al par. 2);
2) del principio di «minimizzazione» dei dati, che non sono risultati «limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (ossia la trasparenza amministrativa), previsto dall’art. 5, par. 1, lett. c), del RGPD;
3) del divieto di diffusione dei dati sulla salute dei soggetti interessati, previsto dall’art. 2-septies, comma 8, del Codice (cfr. anche l’art. 9, parr. 1, 2 e 4, del RGPD).
Considerato, tuttavia, che la condotta ha esaurito i suoi effetti, in quanto il titolare del trattamento ha dichiarato di aver provveduto a rimuovere i dati personali oggetto di contestazione dell’Ufficio dal sito web istituzionale, fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.
7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 del RGPD)
Il Comune di Langhirano risulta aver violato gli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b); 9, parr. 1, 2 e 4 del RGPD nonché gli artt. 2-ter, commi 1 e 3; 2-septies, comma 8, del Codice (cfr. anche artt. 7-bis, comma 3, del d. lgs. n. 33/2013).
Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave».
Nel caso di specie, la violazione delle disposizioni citate – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso in esame.
Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
La predetta sanzione amministrativa pecuniaria inflitta in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.
In tal senso, quanto all’illecita diffusione online di dati personali si tiene conto del fatto che la stessa ha avuto a oggetto la diffusione online di dati personali in un caso anche idonei a rivelare lo stato di salute (art. 9 del RGPD), riferiti a diverse centinaia di persone (soggetti che hanno effettuato l’accesso e talvolta anche soggetti a cui i documenti si riferiscono, contenuti nei registri nei registri degli accessi anni XX) mantenuti sul sito web istituzionale almeno fino data dell’invio delle memorie difensive del Comune (aprile XX). Tale condotta deriva in ogni caso – secondo quanto dichiarato dal Comune – da un’ampia interpretazione del principio di trasparenza e risulta quindi essere di natura evidentemente colposa.
Si ritiene pertanto che, nel caso di specie, il livello di gravità della condotta tenuta dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23/5/2023, punto 60).
Ciò premesso, oltre a tener conto della circostanza che il Comune di Langhirano è un ente di medie dimensioni (con poco più di 10.000 abitanti), si prendono in considerazione anche le seguenti circostanze attenuanti:
- il titolare del trattamento, a seguito della richiesta dell’Ufficio è intervenuto tempestivamente, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alle violazioni, attenuandone i possibili effetti negativi, dichiarando, a tal fine, che la condotta è cessata avendo provveduto a rimuovere i dati dal sito web istituzionale;
- il titolare del trattamento ha dichiarato di non aver in ogni caso ricevuto segnalazioni, reclami o richieste di esercizio dei diritti da parte dei soggetti interessati;
- non risultano precedenti violazioni del RGPD pertinenti commesse dall’ente.
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniarie, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 12.000,00 (dodicimila) per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b); 9, parr. 1, 2 e 4; del RGPD; nonché gli artt. 2-ter, commi 1 e 3; 2-septies, comma 8, del Codice (cfr. anche artt. 7-bis, comma 3, del d. lgs. n. 33/2013), quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.
In relazione alle specifiche circostanze del presente caso, riguardanti la diffusione di dati personali online, anche relativi alla salute, in assenza di una idonea base normativa (art. 2-ter, commi 1 e 3, del Codice), si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.
Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.
TUTTO CIÒ PREMESSO IL GARANTE
rilevata l’illiceità del trattamento effettuato dal Comune di Langhirano nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. i), e 83 del RGPD, e dell’art. 144 del Codice, per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b); 9, parr. 1, 2 e 4; del RGPD, nonché degli artt. 2-ter, commi 1 e 3; 2-septies, comma 8, del Codice;
ORDINA
al Comune di Langhirano, in persona del legale rappresentante pro-tempore, con sede legale in P.zza Giacomo Ferrari, 1 - 43013 Langhirano (PR) – C.F. 00183800341 di pagare la somma di € 12.000,00 (dodicimila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione;
INGIUNGE
al medesimo Comune di pagare la somma di euro € 12.000,00 (dodicimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.
Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).
DISPONE
- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019;
- l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate ai sensi dell’art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.
Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 10 luglio 2025
IL PRESIDENTE
Stanzione
IL RELATORE
Ghiglia
IL SEGRETARIO GENERALE REGGENTE
Filippi
KEYWORDS
#privacy e trattamento dei dati personali#trasparenza amministrativa#accesso civico
13/11/2025 n° 667
Area: Prassi, Circolari, Note
[doc. web n. 10209462]
Provvedimento del 13 novembre 2025
Registro dei provvedimenti
n. 667 del 13 novembre 2025
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componente, e il cons. Angelo Fanizza, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore la prof.ssa Ginevra Cerrina Feroni;
PREMESSO
1. Il reclamo.
Con reclamo presentato all’Autorità dalla sig.ra XX è stato rappresentato che, in data XX, la figlia, frequentante la Scuola Secondaria di I grado “Martiri della Libertà” dell’Istituto "A. Brofferio" di Asti (AT) – ora denominato Istituto Comprensivo 4 di Asti (AT) - (di seguito, l’Istituto), avrebbe partecipato, durante l’orario scolastico, al progetto “Obiettivo Orientamento”, indetto dalla Regione Piemonte “per lo sviluppo di competenze orientative e per aiutare adolescenti e giovani a scegliere il proprio percorso nei vari cicli di studio e nelle prime fasi della vita professionale”.
In base a quanto rappresentato il citato Istituto avrebbe fornito a soggetti esterni alla scuola “nomi, cognomi, date di nascita, indirizzi, codici fiscali e numeri di telefono di ogni ragazzo” e personale esterno all’Istituto, avrebbe somministrato ai ragazzi, nel corso del primo incontro di formazione, un questionario individuale, recante l’indicazione del nome e del cognome di ciascun alunno e contenente talune domande “volte a identificare nonché a profilare […] specifiche caratteristiche mentali, emotive e personali dei ragazzi”. Ciò senza che le famiglie fossero state “opportunamente e preventivamente” informate in merito alla somministrazione del questionario e avessero ricevuto “l’informativa specifica per il progetto Obiettivo Orientamento”.
2. L’attività istruttoria.
Con nota del XX (prot. n. XX) e del XX(prot. n. XX), rispondendo alle richieste di informazioni formulate dall’Autorità, l’Istituto ha rappresentato, in particolare, che:
- “La Sig.ra XX, soggetto che ha presentato reclamo a codesta Autorità Garante, aveva già sottoposto via email allo scrivente istituto, in data XX, richiesta di chiarimenti circa il progetto "Obiettivo Orientamento", lamentando, in particolare, la mancanza di informativa rispetto al trattamento dei dati e, soprattutto, la mancata richiesta di preventivo consenso da parte dei genitori al trattamento dei dati personali […]”;
- “l'Istituto, sentito il proprio DPO, rispondeva […] evidenziando, in particolare, i seguenti punti: il Titolare del trattamento, relativamente ai dati personali raccolti tramite questionario somministrato agli alunni, è la Regione Piemonte; la base giuridica del trattamento non è il consenso dell'interessato come indicato dalla
Sig.ra XX bensì l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investita la Regione Piemonte che ha, tra i propri compiti istituzionali, quello di orientamento degli studenti; la scuola, tramite pubblicazione sul proprio sito, alla pagina [...] ha messo a disposizione degli interessati l'informativa prodotta dalla Regione Piemonte circa il trattamento in esame”;
- “il ruolo svolto dallo scrivente Istituto è stato quello, nell'ambito delle proprie finalità istituzionali educative e formative, di comunicare le informazioni richieste dalla Regione Piemonte, limitatamente ai dati indispensabili per l'erogazione del servizio, ad un soggetto pubblico (La Regione Piemonte), per le attività di orientamento, ai sensi di quanto previsto dal Decreto del Ministero dell'Istruzione del 7 dicembre 2006 n. 305 schede 4 e 5”;
- “l'informativa circa il trattamento in esame è stata pubblicata sul sito istituzionale della Scuola […] Si evidenzia, inoltre, che la scuola, sempre sul proprio sito istituzionale, alla pagina genitori/tutori nella quale, in particolare, si evidenziano tra i possibili destinatari dei dati acquisiti dalla scuola, anche soggetti pubblici o privati finalità di orientamento”.
- “Il ruolo svolto dallo scrivente Istituto nell'ambito del progetto “Obiettivo Orientamento” è quello di Titolare del Trattamento esclusivamente con riferimento al trattamento dati consistente nella comunicazione dei dati ad altro titolare del Trattamento (la Regione Piemonte) ai sensi di quanto disposto dall’art. 2-ter, comma 2, del d.lgs 196 del 2003 (Codice Privacy) e nel limite dei dati indispensabili per l'erogazione del servizio, da parte di un soggetto pubblico (La Regione Piemonte), per le attività di orientamento, ai sensi di quanto previsto dal Decreto del Ministero dell'Istruzione del 7 dicembre 2006 n. 305 schede 4 e 5”;
- “l'articolo 2-ter Codice Privacy regolamenta la comunicazione di dati comuni fra titolari che effettuano trattamenti di dati personali, diversi da quelli ricompresi nelle particolari categorie e di quelli relativi a condanne penali e reati, per l'esecuzione di un compito di interesse pubblico e la ammette se prevista da una legge o di regolamento o da atti amministrativi generali; inoltre, anche se manca una precisa norma a monte, la comunicazione può avvenire se necessaria per l'adempimento di un compito svolto nel pubblico interesse”;
- “la scuola non ha alcun ruolo nelle attività di trattamento di dati connesse alle finalità del progetto di orientamento (ad es. raccolta, consultazione, archiviazione, etc.)”.
Sulla base degli elementi acquisiti, l’Ufficio ha notificato, con nota del XX (prot. n. XX), all’Istituto, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5, par. 1, lett a) e 6 del Regolamento e dell’art. 2-ter del Codice invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).
L’Istituto ha fatto pervenire le proprie memorie difensive, con nota del XX (prot. n. XX), rappresentando, in particolare, che:
- “il decreto del Ministero della Pubblica istruzione 7 dicembre 2006, n. 305 “nella scheda n° 5 allegata al decreto, indica tra le operazioni sui dati eseguibili “la comunicazione ai seguenti soggetti per le seguenti finalità: … b) agli Enti Locali per la fornitura dei servizi ai sensi del D. Lgsl. 31 marzo 1998, n. 112, limitatamente ai dati indispensabili all'erogazione del servizio””;
- “si indicano, inoltre, quali riferimenti normativi l'articolo 22, comma 5, della legge 241/1990, che detta le regole della leale cooperazione istituzionale tra soggetti pubblici e l’art. 50 del CAD che afferma che: "qualunque dato trattato da una pubblica amministrazione,”;
- “si evidenzia, inoltre, che l'articolo 2-ter del d.lgs 196 del 2003 (codice privacy) al commi 1-bis e 2 ammette la comunicazione dei dati tra titolari, anche se non previsto da una specifica legge o regolamento o da atti amministrativi generali, qualora lo stesso sia necessario per l'adempimento di un compito svolto nel pubblico interesse”;
- “in tale ottica, si precisa che la Regione, in tema di orientamento, svolge un ruolo fondamentale in quanto ha come proprio compito l'attivazione di servizi di orientamento rientranti nelle finalità istituzionali e pertanto è legittimata al trattamento dei dati degli alunni finalizzato alla necessità di eseguire un compito di interesse pubblico”;
- la “attività di orientamento [svolta dalla Regione] può essere […] considerata come di supporto all'attività didattica secondo le disposizioni delle leggi regionali e pertanto la scuola sarebbe legittimata a comunicare tali dati alla regione”;
- “in particolare, la legge regionale del Piemonte 24 novembre 2023, n. 32 “, all’art. 1, comma 1, afferma infatti che “La Regione, nell’esercizio delle competenze di cui all’articolo 117 della Costituzione, nel rispetto dello Statuto regionale e nel quadro della programmazione europea e statale, definisce e disciplina il sistema integrato delle politiche relative allo sviluppo delle competenze, all’occupazione e all’inclusione sociale e dei servizi per l’orientamento permanente, la formazione professionale e il lavoro”;
- “diversamente opinando, gli Istituti scolastici non potrebbero, in alcun modo, comunicare alla Regione i dati degli alunni destinatari dei sevizi di orientamento promossi dalla Regione stessa, non potendosi applicare, quale base giuridica, il consenso degli interessati, per la sua evidente ed intrinseca inadeguatezza nell'ambito della pubblica amministrazione”.
3. Normativa applicabile.
3.1 Il quadro normativo.
Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il “Regolamento”), definisce “dato personale”, “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, punto 1 del Regolamento).
In particolare, il trattamento di dati personali effettuato in ambito pubblico è lecito quando è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, paragrafo 1, lett. c) ed e) e par. 2 e 3 del Regolamento; art. 2-ter, comma 1 del Codice).
La base giuridica dei predetti trattamenti deve essere stabilita dal diritto dell’Unione o dello Stato membro, che deve perseguire “un obiettivo di interesse pubblico [e deve essere] proporzionato all'obiettivo” (art. 6, par. 3, del Regolamento).
In tale contesto, è sancito che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento).
Il Codice ha stabilito che “la base giuridica prevista dall’articolo 6, paragrafo 3, lettera b), del Regolamento è costituita da una norma di legge o di regolamento o da atti amministrativi generali” (art. 2-ter, comma 1).
Deve essere, in ogni caso, garantito il rispetto dei principi di base in materia di protezione dei dati, tra cui, in particolare, i principi di “liceità, correttezza e trasparenza” in base al quale i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell'interessato” (art. 5, par. 1, lett. a) del Regolamento).
Con riguardo al trattamento dei dati personali dei minori, si evidenzia inoltre, che, in considerazione della loro particolare “vulnerabilità”, gli stessi meritano una specifica protezione in relazione ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze, nonché dei loro diritti in relazione al trattamento dei dati (cfr. cons. 38 del Regolamento).
3.2 Il trattamento di dati personali effettuato dall’Istituto.
Dall’accertamento compiuto sulla base degli elementi acquisiti a seguito dell’attività istruttoria e dalle successive valutazioni di questo Dipartimento nonché sulla base delle dichiarazioni effettuate da codesto Istituto nel corso dell’istruttoria, della cui veridicità il titolare risponde ai sensi 168 del Codice, risulta che codesto Istituto ha comunicato alla regione Piemonte - ferme restando le valutazioni in ordine alla liceità del trattamento svolto da quest’ultima, che saranno oggetto di un autonomo procedimento - taluni dati personali degli studenti in modo non conforme al Regolamento e al Codice.
Al riguardo, come sopra ricordato, si rappresenta che il trattamento di dati personali effettuato in ambito pubblico è lecito quando è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, paragrafo 1, lett. c) ed e) e paragrafo 2 e 3 del Regolamento; art 2-ter del “Codice”).
La disciplina nazionale ha previsto che le operazioni di trattamento di dati personali sono ammesse solo se previste da una norma di legge o di regolamento o da atti amministrativi generali (art. 2-ter, commi 1 e 3, del Codice).
La comunicazione tra titolari che effettuano trattamenti di dati personali, per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri è ammessa se prevista ai sensi del richiamato comma 1 dell’art. 2-ter del Codice (ovvero se previste da una norma di legge o di regolamento o da atti amministrativi generali) o se necessaria ai sensi del comma 1-bis.
Al riguardo si evidenzia che le disposizioni di cui all’art. 2-ter, comma 1-bis del Codice sono esercitate nel rispetto dell’art. 6 del Regolamento, che prevede che la base su cui si fonda il trattamento dei dati personali deve essere stabilita dal diritto dell'Unione o dal diritto dello Stato membro cui è soggetto il titolare del trattamento. Tale base giuridica potrebbe contenere disposizioni specifiche per adeguare l'applicazione delle norme del presente regolamento, tra cui: le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto, quali quelle per altre specifiche situazioni di trattamento di cui al capo IX. Il diritto dell'Unione o degli Stati membri persegue un obiettivo di interesse pubblico ed è proporzionato all'obiettivo legittimo perseguito.
Il combinato disposto dell’articolo 6, paragrafo 1, lettera e) e par. 3 del Regolamento e dell’art. 2-ter del Codice, impone quindi una base giuridica per il trattamento dei dati personali da parte dei titolari del trattamento che agiscono nell’esecuzione di un compito di interesse pubblico o di un compito connesso all’esercizio di pubblici poteri.
Al riguardo, si osserva che codesto Istituto, allo stato degli atti, non ha fornito al Garante alcuna base giuridica, contenente i requisiti di cui al richiamato art. 6 del Regolamento, idonea, per rango e qualità, a legittimare la comunicazione dei dati personali degli alunni alla Regione Piemonte.
4. Conclusioni.
Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Pertanto, si confermano le valutazioni preliminari dell’Ufficio e si rileva l'illiceità del trattamento di dati personali effettuato dall’Istituto, avvenuto in assenza di condizioni di liceità, in violazione degli artt. 5, par. 1, lett. a) e 6, par. 1, lett. c) ed e), parr. 2 e 3 del Regolamento e 2-ter, del Codice.
Ciò premesso, tenuto conto che:
- l’Istituto ha agito nella convinzione che la comunicazione dei dati degli alunni alla Regione citata in esame fosse legittimata dalla finalità di interesse pubblico perseguita dalla Regione;
- l’Istituto non ha effettuato ulteriori trattamenti nell’ambito della somministrazione e raccolta dei questionari in esame;
- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento;
le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del cons. 148 e dell’art. 83, par. 2, del Regolamento, nonché delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25 maggio 2018.
Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per avere violato gli artt. 5, par. 1, lett. a), 6 par. 1, lett. c) ed e), parr. 2 e 3 del Regolamento nonché dell’art. 2-ter del Codice.
Considerato che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
TUTTO CIÒ PREMESSO IL GARANTE
- ai sensi dell’art. 57, par. 1, lett. f), dichiara illecita la condotta tenuta dall’Istituto Comprensivo 4 di Asti (AT), con sede in Corso XXV Aprile, 2 - 14100 Asti (AT) - Codice Fiscale: 92082070050, descritta nei termini di cui in motivazione, consistente nella violazione degli artt. 5, par. 1, lett. a) e 6, par. 1, lett. c) ed e), parr. 2 e 3 del Regolamento e 2-terdel Codice;
- ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce l’Istituto Comprensivo 4 di Asti (AT), quale titolare del trattamento in questione, per aver violato gli 5, par. 1, lett. a) e 6, par. 1, lett. c) ed e), parr. 2 e 3 del Regolamento e 2-terdel Codice;
DISPONE
- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante;
- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 13 novembre 2025
IL PRESIDENTE
Stanzione
IL RELATORE
Cerrina Feroni
IL SEGRETARIO GENERALE
Fanizza
KEYWORDS
#privacy e trattamento dei dati personali
13/03/2025 n° 134
Area: Prassi, Circolari, Note
[doc. web n. 10127792]
Provvedimento del 13 marzo 2025
Registro dei provvedimenti
n. 134 del 13 marzo 2025
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore il dott. Agostino Ghiglia;
PREMESSO
1. Il reclamo.
Con reclamo presentato dalla sig.ra XX è stato lamentato che l’Istituto Alberghiero Mediterraneo di Pulsano (TA) (di seguito, “l’Istituto”), avrebbe “pubblicato su YouTube [… un video] riguardante gli auguri di Natale del plesso dove figurava anche la classe” del figlio della reclamante, senza che quest’ultima avesse fornito alcun consenso affinché il figlio comparisse su una piattaforma digitale, e senza che le fosse “stata fatta firmare alcuna richiesta di autorizzazione in merito alla pubblicazione del video in questione (XX)”.
2. L’attività istruttoria.
Con nota del XX (prot. n. XX) rispondendo alla richiesta di informazioni formulata da questa Autorità, la dirigente scolastica dell’Istituto ha rappresentato, in particolare, che:
- “preliminarmente, si rappresenta che la scrivente nella sua qualità di Dirigente Scolastico dell’Istituto in intestazione, ha tempestivamente provveduto a far rimuovere il video dal canale youtube della scuola”;
- “il benessere degli alunni è, senza ombra di dubbio, un fattore che influenza non solo il modo di approcciarsi allo studio ma anche l’entusiasmo per i risultati ottenuti; proprio all’interno della classe che ha frequentato il figlio dell’odierna reclamante (frequenza conclusasi in data XX a seguito di richiesta di nulla osta), il clima creatosi tra gli alunni era caratterizzato da profonde tensioni, alimentate anche dal comportamento dell’alunno”;
- “sono state attivate azioni correttive e costruttive, anche attraverso il coinvolgimento diretto degli studenti, esortandoli a manifestare il loro pensiero in ordine alle dinamiche del gruppo-classe, così da favorire oltre che la comprensione anche il riconoscimento delle emozioni positive e/o negative dagli stessi vissute”;
- “appare doveroso evidenziare che, per quanto concerne le doglianze manifestate dalla [… reclamante], in occasione della foto che ritrae il di lei figlio insieme ad un nutrito gruppo di alunni della classe alla quale apparteneva, la docente che si è occupata di tale attività, dopo aver notiziato i ragazzi in ordine alla natura ed allo scopo dell’attività, ha chiesto loro chi volesse parteciparvi, specificando al contempo, che coloro i quali non avevano ancora compiuto i quattordici anni, avrebbero dovuto necessariamente tenere il foglio sul volto; è d’uopo evidenziare che la docente, nella scelta degli alunni, ha preferito la presenza di ragazzi che avevano già compiuto i quattordici anni (tanto al fine di poter acquisire il consenso direttamente dagli interessati così come previsto dall’art. 2 quinquies del Codice della Privacy, attuativo dell’art. 8, paragrafo 1 del Regolamento UE n. 679/2016)”;
- “in tale circostanza, il figlio della [… reclamante] ebbe a riferire alla professoressa di aver già compiuto quattordici anni e, pertanto, di voler partecipare al video”;
- “a quel punto l’insegnante, utilizzando un linguaggio particolarmente chiaro, semplice, conciso ed esaustivo, facilmente accessibile e comprensibile, ha fornito ai ragazzi tutte le informazioni necessarie, anche quella relativa alla successiva pubblicazione del video oltre che dell'identità del titolare del trattamento, così da rendere significativo il consenso prestato da ciascun alunno”;
- “l’alunno […] ribadì la volontà di prendere parte al video e di acconsentire alla successiva pubblicazione dello stesso”;
- “a conferma di quanto innanzi detto e, contrariamente a quanto riferito dalla [… reclamante], dalla visione del video si evince in maniera chiara ed incontrovertibile la volontà dell’alunno, a differenza degli altri compagni di classe, di voler mostrare il suo volto confermando così, fattivamente, la volontà di rendere visibile la propria immagine, non aderendo all’invito formulato dall’insegnate in ordine al fatto di tenere il foglio sul viso”;
- “v’è che, solo a seguito della comunicazione di cui all’oggetto, è emerso che l’alunno, contrariamente a quanto dallo stesso dichiarato, allorquando è stato effettuato il video, non aveva ancora compiuto quattordici anni anche se, per amor del vero, ciò è avvenuto a distanza di qualche giorno”;
- “tutto ciò non ha potuto in alcun modo ledere l’immagine e/o il decoro di nessuno dei partecipanti e, meno che mai, esporli a rischi di sorta, il tutto nel pieno rispetto del principio di minimizzazione dei dati personali”.
Sulla base degli elementi acquisiti, l’Ufficio ha notificato, con nota del XX (prot. n. XX), all’Istituto, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5 e 6 del Regolamento e dell’art. 2-ter del Codice invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).
L’Istituto ha fatto pervenire le proprie memorie difensive, con nota con del XX (prot. n. XX), rappresentando, in particolare, che:
- “trattasi, nella fattispecie, di dati personali comuni, limitatamente all’immagine e non particolari o giudiziari, considerato che la clip video in discussione, della durata complessiva di soli 8 secondi su una durata totale del video in questione di 11 minuti e 25 secondi, non recava alcuna ulteriore indicazione relativa a nominativo, età, classe frequentata, sede o altro ancora”;
- “l’I.P.S.S.E.O.A. Mediterraneo ha provveduto con immediatezza alla rimozione del video in questione dal canale YouTube della scuola, non appena ricevuta la notifica del reclamo della [… reclamante] da parte del GPDP interpretandolo come volontà di diniego all’utilizzo dei dati personali del proprio figlio”;
- “le immagini dell’alunno […] figlio della ricorrente, sono state trattate esclusivamente nel perseguimento delle finalità istituzionali della scuola, quali orientamento, inclusione, istruzione e formazione degli alunni. Sul punto si richiama l’informativa per il trattamento dei dati personali degli alunni e degli esercenti la responsabilità genitoriale, pubblicata nella sezione privacy del sito web istituzionale e disponibile ai links riportati in appendice”;
- “nello specifico, il video in questione vede il figlio della ricorrente, insieme ad un nutrito gruppo della sua classe, mai in primo piano o con inquadratura esclusiva, impegnato in momenti «positivi» legati alle attività istituzionali della scuola, con lo scopo di documentare, testimoniare, raccontare e valorizzare il lavoro effettuato e, dunque, per scopi esclusivamente didattici, formativi, culturali e di crescita personale.”;
- “la docente referente dell’attività didattica di produzione del video in questione dopo aver notiziato gli alunni del gruppo classe in ordine alla natura ed allo scopo dell’attività, ha chiesto loro chi volesse parteciparvi, specificando al contempo che coloro i quali non avevano ancora compiuto i quattordici anni, avrebbero dovuto necessariamente tenere un foglio sul volto per la dovuta anonimizzazione”;
- “inoltre, nella scelta degli alunni che dovevano comporre il gruppo classe interessato dall’attività didattica di produzione del video in questione, la docente ha individuato alunni che avevano già compiuto i quattordici anni, al fine di poter acquisire il consenso direttamente dagli interessati, così come previsto dall’art. 2 quinquies del Codice della Privacy, attuativo dell’art. 8, paragrafo 1 del Regolamento UE n. 679/2016”;
- “in tale circostanza, il figlio della ricorrente ebbe a riferire alla docente referente di aver già compiuto quattordici anni e, pertanto, di voler partecipare al video”;
- “selezionato il gruppo classe partecipante all’attività didattica di produzione del video in questione, nel quale era incluso l’alunno […] figlio della ricorrente, la docente referente, utilizzando un linguaggio particolarmente chiaro, semplice, conciso ed esaustivo, facilmente accessibile e comprensibile, ha fornito agli alunni interessati tutte le informazioni necessarie, in particolare quelle relative alla successiva pubblicazione del video oltre che dell’identità del titolare del trattamento, così da rendere significativo il consenso prestato da ciascun alunno e chiedendo conferma del consenso, consenso ribadito dall’alunno […] a conferma della volontà della susseguente pubblicazione del video in produzione”;
- “appare rilevante che, durante le riprese del video in questione, l’alunno […] evidenzi la chiara volontà di mostrare il suo volto, durante gli otto secondi in cui è interessato dalle riprese, abbassando il foglio e confermando in tal modo fattivamente la volontà di rendere visibile la propria immagine, non aderendo all’invito formulato dalla docente referente in ordine al fatto di tenere il foglio sul viso, contrariamente a quanto fatto da tutto il resto dei compagni di classe”;
- “solo a seguito della comunicazione del GPDP del reclamo […] è emerso che l’alunno […] figlio della ricorrente, contrariamente a quanto dallo stesso dichiarato in presenza della docente referente dell’attività didattica di produzione del video e dei suoi stessi compagni di classe in occasione delle riprese avvenute in data XX (video pubblicato in data XX), non aveva ancora compiuto quattordici anni. Invero, l’alunno […] avrebbe compiuto i 14 anni a distanza di soli undici giorni, ovvero il XX”;
- “inoltre, a partire fin dalla prima comunicazione del GPDP, l’I.P.S.S.E.O.A. Mediterraneo si è adoperato per aggiornare e rendere più efficaci le proprie misure tecniche e organizzative a garanzia della sicurezza e della compliance del trattamento alle prescrizioni del Regolamento UE 679/2016 e del D. Lgs. 101/2018”;
- “Per quanto attiene il grado di cooperazione con l’Autorità, appare doveroso evidenziare in premessa che non sussistono altre precedenti violazioni in capo all’I.P.S.S.E.O.A. Mediterraneo che, peraltro, ha manifestato sin dall’inizio ampia disponibilità a cooperare, oltre ad un atteggiamento proattivo al fine di impedire la permanenza delle immagini in questione ed evitarne l’ulteriore diffusione”;
- “si rileva, inoltre, che dopo aver rimosso il video nell’immediatezza dell’avvenuta conoscenza del reclamo al GDPD, ai sensi dell’art. 77 del GDPR, prodotto dalla signora M.T., l’I.P.S.S.E.O.A. Mediterraneo ha successivamente oscurato il canale YouTube. Per questi motivi non è possibile fornire il dato certo relativamente alle visualizzazioni ottenute dal video in questione, anche se, valutata la serie storica delle visualizzazioni dei video pubblicati sul proprio canale YouTube, è possibile ipotizzare ragionevolmente un dato inferiore a 100 visualizzazioni. Tale indicatore è stato ricavato effettuando il rapporto tra i video cancellati ed il numero totale delle visualizzazioni di tali video”;
- “qualora la ricorrente […] avesse richiesto l’oscuramento delle immagini del proprio figlio, ritirato il consenso, esercitato i propri diritti, l’I.P.S.S.E.O.A. Mediterraneo si sarebbe immediatamente adoperato nel rimuovere le immagini, come ha poi prontamente fatto nell’immediatezza della notifica del reclamo in questione da parte del GPDP. Invece, la ricorrente […] ha atteso che si concludessero le procedure di trasferimento ad altra scuola del proprio figlio per poi proporre capziosamente reclamo”;
- “tutte le informazioni necessarie e preventive sono state fornite agli interessati mediante il link alla sezione Privacy del sito web istituzionale dell’I.P.S.S.E.O.A. Mediterraneo. L’informativa, in particolare, è stata redatta con un linguaggio facilmente comprensibile anche dai minori e contiene, tra l’altro, gli elementi essenziali del trattamento, le finalità perseguite, con l’evidenza che le stesse perseguono esclusivamente le funzioni istituzionali necessarie per assicurare il diritto all’istruzione e alla formazione attraverso l’erogazione dell’attività didattica”.
3. Normativa applicabile.
3.1 Il quadro normativo.
Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il “Regolamento”), definisce “dato personale”, “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, punto 1 del Regolamento).
A norma del Regolamento il trattamento di dati personali è lecito solo se e nella misura in cui ricorre una delle condizioni elencate nell’art. 6 del Regolamento.
In particolare, il trattamento di dati personali effettuato in ambito pubblico è lecito quando è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, paragrafo 1, lett. c) ed e) e par. 2 e 3 del Regolamento; art. 2-ter, comma 1 del Codice).
La base giuridica dei predetti trattamenti deve essere stabilita dal diritto dell’Unione o dello Stato membro, che deve perseguire “un obiettivo di interesse pubblico [e deve essere] proporzionato all'obiettivo” (art. 6, par. 3, del Regolamento).
In tale contesto, è sancito che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento).
Il Codice ha stabilito che “la base giuridica prevista dall’articolo 6, paragrafo 3, lettera b), del Regolamento è costituita da una norma di legge o di regolamento o da atti amministrativi generali” (art. 2-ter, comma 1).
In particolare, le operazioni di trattamento che consistono nella “diffusione” e “comunicazione” di dati personali sono ammesse solo quando previste da una norma di legge, regolamento o atti amministrativi generali (art. 2-ter, comma 3 del Codice).
Il titolare del trattamento è in ogni caso tenuto a rispettare i principi in materia di protezione dei dati, tra cui quello di “liceità, correttezza e trasparenza” in base al quale i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato (art. 5, par. 1, lett. a) del Regolamento).
3.2 Il trattamento di dati personali effettuato dall’Istituto.
Dall’accertamento compiuto, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni del Dipartimento, risulta che l’Istituto ha pubblicato, sul canale YouTube della scuola, un video di auguri natalizi nel quale apparivano alcuni ragazzi della XX dell’Istituto, tra cui il figlio della reclamante (art. 4, par. 1, n. 1, del Regolamento).
Come ricordato in precedenza, inoltre, affinché uno specifico trattamento di dati personali possa essere lecitamente effettuato da parte di un soggetto pubblico, tale trattamento deve essere necessario per l’adempimento di un obbligo legale da parte del titolare del trattamento o per l’esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri e deve trovare il proprio fondamento in una disposizione che abbia le caratteristiche di cui all’art. 2-ter, c. 1, del Codice.
In tale ambito l’amministrazione pubblica è tenuta a verificare, anche per i dati comuni, l’esistenza di una norma di legge, o di regolamento o di atti amministrativi generali che legittimino la diffusione dei dati personali degli interessati.
Al riguardo si rappresenta che l’Istituto scolastico non ha indicato alcuna specifica base giuridica idonea a legittimare la diffusione, sul canale YouTube della scuola, delle immagini dei minori ripresi nel video (v. art. 2-ter, comma 3 del Codice).
Per quanto concerne l’asserito consenso (art. 7 del Regolamento) espresso dal figlio della reclamante e dalla reclamante stessa, considerato da codesto Istituto, in buona fede, quale valido fondamento del trattamento in esame - pur non ritenendo applicabile tale requisito di legittimità ai sensi dell’art. 7 del Regolamento quale base giuridica - si manifestano le seguenti osservazioni, anche al fine di valutare la condotta tenuta da codesto Istituto nel suo complesso.
In primo luogo si rappresenta che il consenso, in linea generale, deve essere espresso da un alunno maggiorenne o da un soggetto esercente la responsabilità genitoriale di un alunno minorenne; per tale ragione la convinzione, da parte dell’Istituto che l’alunno avesse compiuto quattordici anni è irrilevante.
Si osserva, altresì, che è inconferente anche il richiamo all’art. 2-quinquies del Codice che riguarda la possibilità, per i soggetti che hanno compiuto quattordici anni, di esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione.
Ancora, in merito alla manifestazione di volontà espressa dalla madre dell’alunno ripreso nel video, si rileva che nella richiamata informativa fornita alla reclamante nel modulo di iscrizione del figlio all’Istituto, nella sezione “Autorizzazione trattamento dell’immagine”, viene espressamente indicato che “il genitore/tutore si impegna a non sollevare eccezioni contro la pubblicazione di eventuali fotografie o riprese audio-video, effettuate esclusivamente nell’esercizio delle funzioni istituzionali. Link istituzionale: […]”. Il trattamento descritto dunque, sembra ricondursi alla pubblicazione eventuale di foto o video sul sito istituzionale dell’Istituto mentre non risulta menzionato il trattamento riguardante la pubblicazione su YouTube che si è verificato nel caso in esame.
Altresì, si osserva che in tale modulo non sembra essere presente un campo/flag attraverso il quale esprimere esplicitamente il consenso al trattamento di immagini e/o video, difformemente da quanto previsto dall’art. 7, par. 2 del Regolamento. Al riguardo, anche le “Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679”, adottate il 4 maggio 2020, prevedono che “il titolare del trattamento deve evitare ambiguità e garantire che l’azione con cui viene espresso il consenso possa essere distinta da altre azioni” (par. 84) e che “se spetta al genitore prestare il consenso, può essere necessario fornire un insieme di informazioni che consentano agli adulti di prendere una decisione informata” (par. 126).
Alla luce delle considerazioni che precedono, si deve concludere che la pubblicazione, sul canale YouTube della scuola, di un video di auguri natalizi nel quale apparivano alcuni ragazzi della XX dell’Istituto tra cui il figlio della reclamante ha dato luogo ad una diffusione dei dati personali in assenza di un idoneo presupposto di liceità, non rientrando tale trattamento tra le finalità di interesse pubblico attribuite all’Istituto e non sussistendo alcuna altra condizione di liceità, in violazione degli artt. 5, par. 1, lett. a) e 6, par. 1, lett. c) ed e), parr. 2 e par. 3, lett. b)del Regolamento e 2-ter, commi 1 e 3, del Codice.
Si prende, comunque, favorevolmente atto dell’adozione, da parte dell’Istituto, di adeguate misure quali la cancellazione del video ritraente gli alunni, dal canale YouTube una volta avviata l’istruttoria.
4. Conclusioni.
Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Pertanto, si confermano le valutazioni preliminari dell'Ufficio e si rileva l'illiceità del trattamento di dati personali effettuato dall’Istituto, avvenuto in assenza di condizioni di liceità, in violazione degli artt. 5, par. 1, lett. a) e 6, par. 1, lett. c) ed e), parr. 2 e par. 3, lett. b), del Regolamento e 2-ter, commi 1 e 3, del Codice.
La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.
Considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, in quanto l’Istituto ha provveduto tempestivamente a rimuovere il video in cui è stato ripreso il figlio della reclamante, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art.
58, par. 2, del Regolamento.
5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).
Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
Tenuto conto che la violazione delle disposizioni sopra citate da parte dell’Istituto ha avuto luogo in conseguenza di un’unica condotta, trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, tutte le violazioni accertate – artt. 5, par. 1, lett. a) e 6, par. 1, lett. c) ed e), parr. 2 e par. 3, lett. b), del Regolamento e 2-ter, commi 1 e 3, del Codice - sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000 (ventimilioni/00).
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.
Si ritiene che, nel caso di specie, il livello di gravità di tale violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60), tenuto conto che:
- con specifico riguardo alla natura, alla gravità e alla durata della violazione, occorre considerare che diffusione online di dati personali ha riguardato interessati minori di età (cfr. art. 83, par. 2, lett. a), del Regolamento);
- con particolare riguardo al profilo soggettivo della violazione la stessa è avvenuta nell’erroneo convincimento, da parte dell’Istituto di aver acquisito il consenso degli interessati (art. 83, par. 2, lett. b), del Regolamento);
- riguardo alle categorie di dati personali comunicati non sono comprese categorie particolari di dati (art.83, par. 2, lett. g) del Regolamento).
Nel premettere che il titolare del trattamento è un Istituto scolastico e, pertanto, un soggetto di ridotte dimensioni si devono considerare, altresì, le seguenti circostanze:
- ha provveduto a cancellare tempestivamente il video riguardante gli alunni una volta venuto a conoscenza del reclamo presentato (art. 83, par. 2, lett. c), del Regolamento);
- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento (art. 83, par. 2, lett. e), del Regolamento);
- il grado di cooperazione manifestato dal titolare con l'autorità di controllo (art. 83, par. 2, lett. f) del Regolamento);
- l’elevata accessibilità e visibilità dello strumento utilizzato per la descritta diffusione, atteso che il canale YouTube è accessibile anche da chi non conosce e non frequenta l’Istituto e, pertanto, si presta maggiormente al rischio di perdita di controllo dei dati personali degli interessati (art. 83, par. 2, lett. k), del Regolamento).
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 2.000,00 (duemila/00) per la violazione degli artt. 5, par. 1, lett. a) e 6, par. 1, lett. c) ed e), parr. 2 e par. 3, lett. b), del Regolamento e 2-ter, commi 1 e 3, del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.
In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione delle specifiche circostanze del caso concreto, riguardanti la pubblicazione di un video riguardante gli minori di età sul canale YouTube in assenza di una condizione di liceità.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
TUTTO CIÒ PREMESSO IL GARANTE
dichiara, ai sensi degli artt. 57, par. 1, lett. f), e 83 del Regolamento, rileva l’illiceità del trattamento effettuato dall’Istituto Alberghiero Mediterraneo di Pulsano (TA) nei termini di cui in motivazione, per la violazione degli artt. 5, par. 1, lett. a) e 6, par. 1, lett. c) ed e), parr. 2 e par. 3, lett. b), del Regolamento e 2-ter, commi 1 e 3, del Codice;
ORDINA
ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Istituto Alberghiero Mediterraneo di Pulsano, con sede legale in via Chiesa n. 49, 74026, Pulsano (TA), CF: 90264330730, di pagare la complessiva somma di euro 2.000,00 (duemila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;
INGIUNGE
all’Istituto Alberghiero Mediterraneo di Pulsano (TA):
- di pagare la complessiva somma di euro 2.000,00 (duemila/00) in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;
DISPONE
ai sensi dell'art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell'ordinanza ingiunzione sul sito internet del Garante;
ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 13 marzo 2025
IL PRESIDENTE
Stanzione
IL RELATORE
Ghiglia
IL SEGRETARIO GENERALE
Mattei
KEYWORDS
#privacy e trattamento dei dati personali
25/09/2025 n° 529
Area: Prassi, Circolari, Note
[doc. web n. 10184924]
Provvedimento del 25 settembre 2025
Registro dei provvedimenti
n. 529 del 25 settembre 2025
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Angelo Fanizza, Segretario Generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione deidati personali, doc. web n. 1098801;
Relatore la prof.ssa Ginevra Cerrina Feroni;
PREMESSO
1. Il reclamo.
Con reclamo presentato all’Autorità, il sig. XX ha lamentato che un’insegnate avrebbe pubblicato sull’applicativo Classroom utilizzato nella classe della figlia, iscritta all’Istituto Comprensivo San Benigno Canavese (TO) (di seguito “l’Istituto”), un “post” accessibile ad alunni e relativi genitori contenente informazioni riguardanti le vicende personali e familiari del reclamante e dell’alunna relative, in particolare, alla separazione in corso tra i genitori della minore e al suo stato emotivo.
2. L’attività istruttoria.
Con nota del XX (prot. n. XX), alla quale si rinvia integralmente, rispondendo alla richiesta di informazioni formulata dall’Autorità, la dirigente scolastica dell’Istituto ha rappresentato, in particolare, che:
- “in data XX alle ore XX la docente […] pubblicava su piattaforma Google workspace, su applicativo Classroom, visibile alle famiglie il post […] la piattaforma è abitualmente usata nella scuola, esistono due diverse “Classroom” per ogni classe, una aperta agli studenti, dove i docenti assegnano lavori e condividono materiali, una di comunicazione tra i docenti, che non prevede l’inserimento di dati particolari e/o giudiziari di alcun interessato”;
- “La professoressa […] è pienamente consapevole di tale differenza, la sua preparazione tecnica è indiscussa, […] L’errore, cioè aver utilizzato la “classroom” visibile alle XX famiglie componenti la classe XX, è da considerarsi quindi puramente ‘materiale’ non dovuto a superficialità ma piuttosto ad una situazione personale poco serena all’epoca dei fatti. L’intenzione della docente era quella di condividere con i docenti della classe, su sollecitazione da parte della madre che aveva colloquiato con lei, la situazione familiare poco serena dell’alunna, elemento che avrebbe potuto avere rilevanza nei processi di apprendimento”;
- “Alle XX del XX vengo a conoscenza, tramite PEC inviata dal sig. XX alle ore XX del XX all’indirizzo della scuola, dell’accaduto. Immediatamente contatto la docente e il post viene rimosso entro le XX”.
Sulla base degli elementi acquisiti, l’Ufficio ha notificato, con nota del XX (prot. n. XX), all’Istituto, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, in quanto la messa a disposizione, sulla piattaforma Classroom, della nota contenente informazioni riguardanti le vicende personali e familiari del reclamante e dell’alunna ha dato luogo a una comunicazione illecita di dati personali a terzi in violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento e 2-ter del Codice.
Pertanto l’Ufficio ha invitato il predetto titolare a produrre scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).
Con nota del XX (prot. n. XX) l’Istituto scolastico ha fatto pervenire le memorie difensive, alle quali si rinvia integralmente, rappresentando, in particolare, che:
- “La docente […] non era autorizzata a comunicare i dati incriminati nel contesto del trattamento per la DDI (trattamento per il quale viene coinvolta la piattaforma Classroom) […]”;
- “L’errore […] è da considerarsi quindi puramente ‘materiale’ non dovuto a superficialità ma a distrazione, in quanto la docente gestisce numerose classroom”.
3. Esito dell’attività istruttoria.
3.1.1 Normativa applicabile.
Ai sensi del Regolamento (UE) 2016/679 il trattamento di dati personali effettuato in ambito pubblico è lecito quando è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, paragrafo 1, lett. c) ed e) e paragrafo 2 e 3 del Regolamento; art 2-ter del d.lgs. n. 196 del 30 giugno 2003 - Codice in materia di protezione dei dati personali, di seguito, il “Codice”).
La base giuridica dei predetti trattamenti deve essere stabilita dal diritto dell’Unione o dello Stato membro, che deve perseguire “un obiettivo di interesse pubblico [e deve essere] proporzionato all'obiettivo” (art. 6, par. 3, del Regolamento).
In tale contesto, è sancito che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento).
Il Codice ha stabilito che “la base giuridica prevista dall’articolo 6, paragrafo 3, lettera b), del Regolamento è costituita da una norma di legge o di regolamento o da atti amministrativi generali” (art. 2-ter, comma 1).
In particolare, le operazioni di trattamento che consistono nella “diffusione” e “comunicazione” di dati personali sono ammesse solo quando previste da una norma di legge, regolamento o atti amministrativi generali (art. 2-ter, comma 3 del Codice).
Il titolare del trattamento è in ogni caso tenuto a rispettare i principi in materia di protezione dei dati, tra cui quello di “liceità, correttezza e trasparenza” in base al quale i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato (art. 5, par. 1, lett. a) del Regolamento).
3.2 Esito dell’attività istruttoria.
Alla luce dell’attività istruttoria, risulta che una docente dell’Istituto ha reso disponibile, sull’applicativo Classroom, accessibile a tutti i genitori degli alunni della classe di appartenenza della figlia del reclamante, una nota contenente informazioni riguardanti le vicende personali e familiari del reclamante e dell’alunna riguardanti, in particolare, la separazione in corso tra i genitori dell’alunna e lo stato emotivo della stessa.
Le predette informazioni sono state visibili sulla citata piattaforma, dalle ore XX del XX alle ore XX del giorno successivo, orario in cui la nota è stata rimossa.
In via preliminare, si rappresenta che ai sensi dell’art. 4 par. 1, n. 7, il “titolare del trattamento” è “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”
Le “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR” dell’EDPB del 7 luglio 2021, prevedono che “è solitamente l’organizzazione in quanto tale e non una persona fisica all’interno dell’organizzazione (come l’amministratore delegato, un dipendente o un membro del consiglio di amministrazione) ad agire in qualità di titolare del trattamento ai sensi del GDPR” (par. 17).
Al riguardo, anche nella sentenza della Corte di Giustizia del caso C-741/21, dell’11 aprile 2024, si è affermato che “un dipendente del titolare del trattamento è effettivamente una persona fisica che agisce sotto l’autorità di tale titolare. Pertanto, spetta a detto titolare assicurarsi che le sue istruzioni siano correttamente applicate dai propri dipendenti. Di conseguenza, il titolare del trattamento non può sottrarsi alla propria responsabilità ai sensi dell’articolo 82, paragrafo 3, del RGPD semplicemente invocando una negligenza o un inadempimento di una persona che agisce sotto la sua autorità”.
Pertanto, il titolare del trattamento è sempre la persona giuridica nel suo complesso, anche quando una violazione del Regolamento si sia verificata per negligenza o inadempimento di un autorizzato.
Si rappresenta inoltre che il Garante ha avuto modo di intervenire, in numerose occasioni, sul tema delle “comunicazioni scolastiche”. In tale ambito l’Autorità ha chiarito che “Il diritto–dovere di informare le famiglie sull’attività e sugli avvenimenti della vita scolastica deve essere sempre bilanciato con l’esigenza di tutelare la personalità dei minori. È quindi necessario evitare di inserire, nelle circolari e nelle comunicazioni scolastiche non rivolte a specifici destinatari, dati personali che rendano identificabili, ad es., gli alunni coinvolti in casi di bullismo o destinatari di provvedimenti disciplinari o interessati in altre vicende particolarmente delicate” (vedi, da ultimo, La scuola a prova di privacy - Vademecum ed. 2023, disponibile sul sito web del Garante: www.garanteprivacy.it, doc web n. 9886884, vedi anche le FAQ “Scuola e privacy - Domande più frequenti”, consultabili all’indirizzo FAQ - Scuola e privacy - Garante Privacy, in part. FAQ n. 7).
Da ultimo si rammenta che i minori, in considerazione della loro particolare “vulnerabilità”, meritano una specifica protezione in relazione ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze, nonché dei loro diritti in relazione al trattamento dei dati (cfr. cons. 38 del Regolamento).
Ciò premesso, sebbene la messa a disposizione della nota oggetto del reclamo sia avvenuta in un’area non accessibile a chiunque e non tale, quindi da determinare una diffusione di dati personali, la comunicazione dei dati ivi contenuti è avvenuta, ancorché per un errore materiale, comunque in favore di un novero determinato di soggetti non legittimati alla conoscibilità delle informazioni riguardanti il reclamante e l’alunna (cfr. la definizione di “comunicazione” di dati personali contenuta nell’art. 2-ter comma 4 lett. a), del Codice; v., altresì, provv. 27 novembre 2024, n. 728, doc. web n. 10097324; provv. 12 dicembre 2024, n. 767, doc. web n. 10099052 vedi al riguardo, provv. 27 marzo 2025, n.169, doc. web n. 10136982).
Alla luce delle considerazioni che precedono l’Istituto ha reso conoscibile in modo ingiustificato a soggetti terzi, dati personali riguardanti il reclamante e la propria figlia.
Per tali ragioni l’Istituto, ancorché a seguito di un mero errore, ha dato luogo, in assenza di idoneo presupposto di liceità, a una comunicazione illecita di dati personali a terzi in violazione degli artt. 5, par. 1, lett. a) e 6, parr. 1, lett. c) ed e), 2 e 3 del Regolamento e 2-ter, commi 1 e 3, del Codice.
4. Conclusioni.
Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Pertanto, si confermano le valutazioni preliminari dell'Ufficio e si rileva l'illiceità del trattamento di dati personali effettuato dall’Istituto, in violazione degli artt. 5, par. 1, lett. a) e 6, parr. 1, lett. c) ed e), 2 e 3 del Regolamento e 2-ter, commi 1 e 3, del Codice.
Ciò premesso, le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi dell’art. 83, par. 2, e del cons. 148 del Regolamento, nonché delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25 maggio 2018.
Ciò tenuto conto che:
- il titolare del trattamento è un istituto scolastico e, pertanto, un soggetto di ridotte dimensioni;
- l’evento si è verificato per un mero errore materiale, in quanto la docente intendeva condividere la nota solo con gli altri insegnanti, al fine di tutelare la minore, in quanto la situazione familiare di quest’ultima, avrebbe potuto influire nei processi di apprendimento con ricadute sul piano della valutazione della stessa;
- la nota è rimasta a disposizione nella piattaforma per meno di 24 ore, in quanto l’insegnate, su indicazione del dirigente scolastico ha provveduto tempestivamente a cancellarli;
- la visibilità delle informazioni è stata limitata ai genitori degli alunni della classe della minore;
- il titolare del trattamento ha prestato piena collaborazione all’Autorità nel corso dell’istruttoria;
- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.
Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, parr. 2 e 5, lett. a) del Regolamento, per avere violato gli artt. 5, par. 1, lett. a) e 6, parr. 1, lett. c) ed e), 2 e 3 del Regolamento e 2-ter, commi 1 e 3, del Codice.
Considerato che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
TUTTO CIÒ PREMESSO IL GARANTE
- ai sensi dell’art. 57, par. 1, lett. f), dichiara illecita la condotta tenuta dall’Istituto Comprensivo San Benigno Canavese, con sede in Corso Italia, 34, 10080 S. Benigno Canavese (TO) - Codice Fiscale: 92521270014, descritta nei termini di cui in motivazione, consistente nella violazione degli artt. 5, par. 1, lett. a) e 6, parr. 1, lett. c) ed e), 2 e 3 del Regolamento e 2-ter, commi 1 e 3, del Codice;
- ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce l’Istituto Comprensivo San Benigno Canavese, quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. a) e 6, parr. 1, lett. c) ed e), 2 e 3 del Regolamento e 2-ter, commi 1 e 3, del Codice;
DISPONE
- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante;
- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 25 settembre 2025
IL PRESIDENTE
Stanzione
IL RELATORE
Cerrina Feroni
IL SEGRETARIO GENERALE
Fanizza
KEYWORDS
#genitori: adozione, separazione, divorzio#privacy e trattamento dei dati personali
27/03/2025 n° 169
Area: Prassi, Circolari, Note
[doc. web n. 10136982]
Provvedimento del 27 marzo 2025
Registro dei provvedimenti
n. 169 del 27 marzo 2025
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore il dott. Agostino Ghiglia;
PREMESSO
1. Il reclamo.
Con reclamo presentato dal proprio legale, la sig.ra XX, madre di un alunno frequentante l’ICS Milan International School - ICS Symbiosis, facente parte della Ludum s.r.l. (di seguito la società o l’Istituto), ha lamentato di aver ricevuto, in data XX attraverso la piattaforma SeeSaw, da una docente, una comunicazione “con la quale veniva avvertita che era stato lasciato un questionario compilato presso la reception della scuola e che l’insegnante aveva bisogno di parlare con lei” per alcuni aggiornamenti delicati riguardanti il figlio. Tale messaggio sarebbe stato inviato “in modalità pubblica” a tutti i genitori della classe e con la medesima modalità sarebbe stato inviato un ulteriore messaggio “a contenuto particolarmente riservato” di risposta alla richiesta di chiarimenti della reclamante.
2. L’attività istruttoria.
Con nota del XX, rispondendo alle richieste di informazioni formulate dall’Autorità in data XX (prot. n. XX) il DPO della società, ha rappresentato, in particolare, che:
- “la reclamante contestava l’uploading di due messaggi privati, a quest’ultima indirizzati, nell’area pubblica di SeeSaw, fornendo così la possibilità di visionarne il contenuto ad ulteriori soggetti non direttamente interessati (genitori, insegnanti e personale amministrativo della Scuola)”;
- “l’Insegnante non agiva in mala fede, anzi, mossa da uno spirito di palpabile preoccupazione per l’alunno (…) procedeva ad utilizzare erroneamente SeeSaw e a condividere il messaggio nell’area pubblica”;
- “la buona fede della (… docente) è avvalorata anche dalla prontezza che dimostrava nella cancellazione del contenuto, a seguito dell’individuazione dell’erronea pubblicazione, per la precisione (…): il primo messaggio pubblicato mercoledì XX alle ore 14.35 veniva dalla stessa rimosso alle ore 14.53; il secondo messaggio pubblicato mercoledì XX alle ore 14.48 veniva dalla stessa rimosso tempestivamente alle ore 14.49”;
- “in virtù di quanto verificatosi, la Scuola programmava la formazione annuale in ambito privacy sulla tematica dei data breach (…) evento indirizzato a tutto il personale scolastico”.
Sulla base degli elementi acquisiti, l’Ufficio ha notificato, con nota del XX (prot. n. XX), all’Istituto, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, in quanto la pubblicazione, sulla SeeSaw Elementary Learning Experience Platform, dei messaggi contenenti informazioni personali relativi all’alunno, seppure avvenuta in un’area accessibile solo a genitori, docenti e personale amministrativo e non, quindi accessibile a chiunque, avrebbe dato luogo, nel caso di specie, a una comunicazione illecita di dati personali a terzi in violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento e 2-ter del Codice.
Pertanto l’Ufficio ha invitato il predetto titolare a produrre scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).
Con nota del XX il DPO della società ha fatto pervenire le memorie difensive, alle quali si rinvia integralmente, rappresentando, in particolare, che:
- la docente ha immediatamente rimosso i messaggi riguardanti il figlio della reclamante dall’area pubblica della piattaforma citata a seguito della ricezione della richiesta della ricorrente di ricevere le comunicazioni su una e-mail privata;
- “La prima comunicazione è rimasta (…) online per 18 minuti mentre la seconda (…) per appena 1 minuto” (… per cui) si ritiene che il danno - eventualmente causato – non può che essere esiguo”;
peraltro, i messaggi sono stati pubblicati in “una sezione pubblica (…) della piattaforma (…) accessibile unicamente (…) dai genitori (… dei minori frequentanti) la medesima classe, oltre al personale scolastico e amministrativo per un totale massimo di all'incirca 20 persone”;
- pertanto, alla luce del quadro normativo di riferimento “(… stante il considerando n. 148 del Regolamento e “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679” – adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25 maggio 2018)–, è ben possibile qualificare la violazione oggetto della contestazione in termini di “violazione minore”. Considerazioni di tal tenore nascono da precedenti pronunce del Garante per la Protezione dei Dati Personali; in merito, si richiamano: le Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679, il Provvedimento del 7 marzo 2024 [10008526], il Provvedimento del 13 aprile 2023 [9902516], il Provvedimento del 6 luglio 2023 [9920274]. Nello specifico, questi ultimi due precedenti riguardano un caso similare a quello in esame: riguardano, difatti, un istituto scolastico con non molti iscritti, il quale aveva reso pubblici erroneamente dati personali dei propri alunni, avendo successivamente posto rimedio a tale violazione in tempi brevi tramite la cancellazione di detti dati”.
Nelle medesime memorie, la società ha illustrato con ancora maggiore dettaglio le misure organizzative adottate per rafforzare la protezione dei dati personali degli interessati.
3. Esito dell’attività istruttoria.
3.1 Normativa applicabile.
Il quadro normativo in materia di protezione dei dati previsto dal Regolamento, che non prevede un diverso regime applicabile ai soggetti pubblici e a quelli privati ma tiene conto del solo profilo funzionale nel trattamento dei dati, si ritiene che, stante il perseguimento di un medesimo interesse pubblico, da parte degli istituti scolastici pubblici e privati, i relativi trattamenti di dati personali siano leciti se necessari “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri” (art. 6, paragrafo 1, lett. c) ed e), paragrafi 2 e 3 del Regolamento; art 2-ter del Codice; si veda, al riguardo, provv. 16 settembre 2021, n. 317, doc. web. 9703988).
La base giuridica dei predetti trattamenti deve essere stabilita dal diritto dell’Unione o dello Stato membro, che deve perseguire “un obiettivo di interesse pubblico [e deve essere] proporzionato all'obiettivo” (art. 6, par. 3, del Regolamento).
In tale contesto, è sancito che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento).
Il Codice ha stabilito che “la base giuridica prevista dall’articolo 6, paragrafo 3, lettera b), del Regolamento è costituita da una norma di legge o di regolamento o da atti amministrativi generali” (art. 2-ter, comma 1).
In particolare, le operazioni di trattamento che consistono nella “diffusione” e “comunicazione” di dati personali sono ammesse solo quando previste da una norma di legge, regolamento o atti amministrativi generali (art. 2-ter, comma 3 del Codice).
Il titolare del trattamento è in ogni caso tenuto a rispettare i principi in materia di protezione dei dati, tra cui quello di “liceità, correttezza e trasparenza” in base al quale i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato (art. 5, par. 1, lett. a) del Regolamento).
3.2 Esito dell’attività istruttoria.
Alla luce dell’attività istruttoria, risulta che una docente dell’Istituto ha reso disponibile, nell’area pubblica della piattaforma SeeSaw, accessibile a genitori, insegnanti e personale amministrativo della scuola, due messaggi indirizzati alla reclamante, contenenti informazioni personali relative al figlio di quest’ultima, il primo per un totale di 18 minuti, il secondo per un minuto, in quanto l’insegnate ha provveduto tempestivamente a cancellarli.
In particolare, sebbene la pubblicazione dei messaggi oggetto del reclamo sia avvenuta in un’area non accessibile a chiunque e tale da determinare una diffusione di dati personali, la comunicazione dei dati ivi contenuti è avvenuta, ancorché per un errore materiale, comunque in favore di un novero determinato di soggetti non legittimati alla conoscibilità delle informazioni riguardanti il minore (cfr. la definizione di “comunicazione” di dati personali contenuta nell’art. 2-ter comma 4 lett. a), del Codice; si veda, altresì, provv. 27 novembre 2024, n. 728, doc. web n. 10097324; provv. 12 dicembre 2024, n. 767, doc. web n. 10099052).
A tal riguardo, si rammenta che i minori, in considerazione della loro particolare “vulnerabilità”, meritano una specifica protezione in relazione ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze, nonché dei loro diritti in relazione al trattamento dei dati (cfr. cons. 38 del Regolamento) specie qualora i trattamenti afferiscano alla “valutazione di aspetti personali in particolare mediante la previsione di aspetti riguardanti il rendimento (scolastico) e professionale” (cfr. cons. 75 del Regolamento).
Alla luce delle considerazioni che precedono l’Istituto ha reso conoscibile in modo ingiustificato a soggetti terzi, dati personali riguardanti il figlio della reclamante.
Per tali ragioni l’Istituto, ancorché a seguito di un mero errore, ha dato luogo, in assenza di idoneo presupposto di liceità, a una comunicazione illecita di dati personali a terzi in violazione degli artt. 5, par. 1, lett. a) e 6, parr. 1, lett. c) ed e), 2 e 3 del Regolamento e 2-ter, commi 1 e 3, del Codice
4. Conclusioni.
Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Pertanto, si confermano le valutazioni preliminari dell'Ufficio e si rileva l'illiceità del trattamento di dati personali effettuato dall’Istituto, in violazione degli artt. 5, par. 1, lett. a) e 6, parr. 1, lett. c) ed e), 2 e 3 del Regolamento e 2-ter, commi 1 e 3, del Codice.
Ciò premesso, le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi dell’art. 83, par. 2, e del cons. 148 del Regolamento, nonché delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25 maggio 2018.
Ciò tenuto conto che:
- il titolare del trattamento è un istituto scolastico e, pertanto, un soggetto di ridotte dimensioni;
- l’evento si è verificato in quanto la docente riteneva, per un mero errore materiale, di aver inserito i messaggi nella sezione privata della piattaforma;
- i messaggi sono stati visibili nella piattaforma, il primo per un totale di 18 minuti, il secondo per un solo minuto in quanto l’insegnate ha provveduto tempestivamente a cancellarli;
- i soggetti ai quali i messaggi sarebbero stati resi accessibili ammontano ad un totale massimo di circa 20 persone;
- la docente ha provveduto a scusarsi con la famiglia;
- il titolare del trattamento ha prestato piena collaborazione all’Autorità nel corso dell’istruttoria;
- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.
Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, parr. 2 e 5, lett. a) del Regolamento, per avere violato gli artt. 5, par. 1, lett. a) e 6, parr. 1, lett. c) ed e), 2 e 3 del Regolamento e 2-ter, commi 1 e 3, del Codice.
Considerato che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
TUTTO CIÒ PREMESSO IL GARANTE
- ai sensi dell’art. 57, par. 1, lett. f), dichiara illecita la condotta tenuta dalla Ludum s.r.l., per il trattamento effettuato dall’ICS Milan International School - ICS Symbiosis, facente parte della società, con sede in Viale Ortles n. 46 - 20139 - Codice Fiscale: 06691820960, descritta nei termini di cui in motivazione, consistente nella violazione degli artt. 5, par. 1, lett. a) e 6, parr. 1, lett. c) ed e), 2 e 3 del Regolamento e 2-ter, commi 1 e 3, del Codice;
- ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, la Ludum s.r.l. quale titolare del trattamento in questione, per il trattamento effettuato dall’ICS Milan International School - ICS Symbiosis, facente parte della società, per aver violato gli artt. 5, par. 1, lett. a) e 6, parr. 1, lett. c) ed e), 2 e 3 del Regolamento e 2-ter, commi 1 e 3, del Codice;
DISPONE
- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante;
- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 27 marzo 2025
IL PRESIDENTE
Stanzione
IL RELATORE
Ghiglia
Il SEGRETARIO GENERALE
Mattei
KEYWORDS
#privacy e trattamento dei dati personali
12/12/2024 n° 767
Area: Prassi, Circolari, Note
[doc. web n. 10099052]
Provvedimento del 12 dicembre 2024
Registro dei provvedimenti
n. 767 del 12 dicembre 2024
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore l’avv. Guido Scorza;
PREMESSO
1. Il reclamo.
Con segnalazione presentata all’Autorità, la sig.ra XX, ha lamentato che l’Istituto Comprensivo Statale Calenzano (di seguito, l’Istituto) avrebbe inviato in più occasioni, e precisamente, in data 3 novembre 2021, 4 aprile 2022 e 8 maggio 2023 al proprio indirizzo e-mail (…) i “Programmi educativi individualizzati” riguardanti i ragazzi con disabilità (PEI) riferiti a taluni alunni della scuola, pur non avendo con l’Istituto alcun tipo di rapporto o collaborazione. Tali e-mail recherebbero in chiaro gli indirizzi e-mail dei destinatari, compreso quello della segnalante e i nominativi degli alunni interessati. La segnalante ha, inoltre, rappresentato che l’Istituto avrebbe fornito riscontro alla richiesta di chiarimenti presentata, rappresentando che l’invio della predetta documentazione era dovuto ad un caso di omonimia con una docente.
2. L’attività istruttoria.
Con nota del 31 maggio 2023 (prot. n. 86406) fornendo riscontro alla richiesta di informazioni formulata dall’Autorità, l’Istituto ha rappresentato, in particolare, che:
“il trattamento dei dati personali, anche sanitari o particolari, necessari alla Scuola per perfezionare un percorso di personalizzazione individuale a favore degli alunni disabili denominato PEI (Piano Educativo Individualizzato) ovvero PDP (Piano Didattico Personalizzato) avviene in base alla L. 104/92, DPR 24/2/94, L. 170/10. Il trattamento è effettuato quindi sulla base di una norma di legge, ovvero è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il Titolare del trattamento”;
“le comunicazioni via email oggetto di erroneo invio erano necessarie per fissare gli appuntamenti con i genitori degli alunni interessati per illustrare i PEI. Dette comunicazioni riportavano i nomi degli alunni e le date degli incontri. Nessun contenuto riguardo allo stato di salute dell’interessato”;
“l’invio all’indirizzo errato è dovuto probabilmente ad un errore di autocompletamento degli indirizzi email sul programma di posta elettronica per cui, al posto di inserire quello corretto della Responsabile della Funzione Strumentale per l’Inclusione (XX) è stato inserito quella della esponente (XX)”;
“il mittente delle email (…) risulta Autorizzato al Trattamento ed opportunamente formato sul trattamento dei dati e sulle corrette procedure da adottare”.
Sulla base degli elementi acquisiti, l’Ufficio ha notificato, con nota del 6 novembre 2023 (prot. n. 149693), all’Istituto, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avente ad oggetto le presunte violazioni degli artt. 5, 6 e 9 del Regolamento, degli artt. 2-ter e 2-sexies del Codice invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).
L’Istituto ha fatto pervenire le proprie memorie difensive, con nota con del 6 dicembre 2023, rappresentando, in particolare, che:
- “L’Assistente Amministrativa, incaricata del trattamento dei dati personali per l’area Didattica, inviava erroneamente ad altro destinatario, comunicazione di convocazione del PEI di un alunno”;
- “le comunicazioni via email, oggetto di erroneo invio, erano necessarie per fissare gli appuntamenti con i genitori degli alunni interessati per illustrare i PEI. Dette comunicazioni riportavano i nomi degli alunni e le date degli incontri. Nessun contenuto riguardo allo stato di salute dell’interessato”;
- “quanto descritto è un errore di carattere soggettivo commesso da persona comunque formata. L’informazione trasmessa al destinatario errato non riporta il tipo di difficoltà dell’alunno, ma se ne deduce solo che presenta necessità individuali nel piano di studi”;
- “l’Assistente Amministrativa ha riferito che l’invio all’indirizzo errato è dovuto probabilmente ad un errore di autocompletamento degli indirizzi email sul programma di posta elettronica per cui, al posto di inserire quello corretto della Responsabile della Funzione Strumentale per l’Inclusione (XX) è stato inserito quella della esponente (XX)”;
- “dal client di posta elettronica è stata disattivata la funzione di autocompletamento e sono state impartite specifiche istruzioni agli autorizzati per tutte gli invii, da effettuare in Ccn”;
- “nel corpo di tutte le mail inviate è presente l’avviso "Le informazioni, i dati e le notizie contenute nella presente comunicazione e i relativi allegati sono di natura privata e come tali possono essere riservate e sono, comunque, destinate esclusivamente ai destinatari indicati in epigrafe. La diffusione, distribuzione e/o la copiatura del documento trasmesso da parte di qualsiasi soggetto diverso dal destinatario è proibita, sia ai sensi dell’art. 616 c.p., sia ai sensi del D.Lgs. n. 196/2003 che del Regolamento Europeo n. 679/2016 (GDPR). Se avete ricevuto questo messaggio per errore, vi preghiamo di distruggerlo e di darcene immediata comunicazione anche inviando un messaggio di ritorno all'indirizzo e-mail del mittente”;
- “ciascuna unità di personale, relativamente alle proprie funzioni, è assegnato formale incarico del trattamento dei dati”;
- “il personale ha ricevuto apposita formazione nell’ultimo triennio”.
Nel corso dell’audizione, tenutasi in data 15 novembre 2024, l’Istituto scolastico ha altresì dichiarato:
- “si è trattato di un errore di una comunicazione ad un indirizzo mail di un destinatario diverso dal corretto destinatario per un errore dovuto all’auto completamento del sistema gestionale utilizzato all’epoca dei fatti, di cui la scrivente non era a conoscenza in quanto all’epoca dei fatti la posta era affidata al DSGA e quindi ad un assistente amministrativo; non ero a conoscenza nemmeno del reclamo”;
- “dopo la notifica della violazione ho cercato insieme al DPO di allora e al DPO di recente nomina di mettere in atto misure per evitare violazioni simili e consolidare il rispetto della normativa in materia di protezione dei dati personali”;
- “insieme al DPO stiamo cercando di gestire alcune comunicazioni mediante registro elettronico ed inviare comunicazioni cifrate con password oltre ad un’attività di formazione per i docenti ed i collaboratori scolastici anche nell’ambito del PNRR; abbiamo aggiornato la modulistica in materia di protezione dei dati personali rinvenibile anche sul sito e abbiamo aggiornato le informative, è prevista un’attività di formazione per il prossimo 6 dicembre p.v. per gli assistenti amministrativi proprio per evitare che il ricambio del personale comporti maggiori rischi per la privacy; abbiamo inviato il Vademecum del garante in ambito scolastico al personale e alle famiglie”;
- “sono rammaricata per la violazione verificata”;
- “stiamo facendo tutto il possibile per portare il rischio di violazione vicino allo zero %”;
- “al momento stiamo trasmettendo e acquisendo solo in modalità cartacea alcuni documenti contenenti dati particolarmente delicati fino a quando non saranno definite le modalità di trasmissione cifrata”.
3. Normativa applicabile.
3.1 Il quadro normativo.
Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il “Regolamento”), definisce “dato personale”, “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” e “dati relativi alla salute”, “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, punti 1 e 15, del Regolamento).
A norma del Regolamento il trattamento di dati personali effettuato in ambito pubblico è lecito quando è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, paragrafo 1, lett. c) ed e) e paragrafo 2 e 3 del Regolamento; art 2-ter del Codice).
Più in generale, la normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (…)” (art. 6, paragrafo 2 del Regolamento).
La disciplina nazionale ha introdotto disposizioni più specifiche per adeguare l’applicazione delle norme del Regolamento, determinando, con maggiore precisione, requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (art. 6, par. 2 del Regolamento) e, in tale ambito, ha previsto che le operazioni di trattamento che consistono nella “diffusione” e “comunicazione” di dati personali sono ammesse solo quando previste da una norma di legge, regolamento o atti amministrativi generali (art. 2-ter, del Codice).
Con riguardo alle categorie particolari di dati personali, il trattamento è, di regola, consentito ove “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. g), del Regolamento), a condizione che i trattamenti siano “previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato” (art. 2-sexies, comma 1, del Codice).
Il titolare del trattamento è poi tenuto a rispettare i principi in materia di protezione dei dati, tra cui quello di “liceità, correttezza e trasparenza” in base al quale i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato (art. 5, par. 1, lett. a) del Regolamento).
3.2 Il trattamento di dati personali effettuato dall’Istituto.
Dall’accertamento compiuto, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni di questo Dipartimento, risulta accertato che l’Istituto ha inviato alla segnalante, in data 3 novembre 2021, una e-mail contenente un file denominato “XX”, in data 4 aprile 2022 una e-mail contenente il riferimento ad una “proposta di data per il Pei” riferito all’alunna XX e in data 8 maggio 2023 una e-mail contenente un file denominato “XX”.
Tali comunicazioni sono state inviate alla segnalante a causa di un erroneo invio dovuto “probabilmente ad un errore di autocompletamento degli indirizzi email sul programma di posta elettronica per cui, al posto di inserire quello corretto della Responsabile della Funzione Strumentale per l’Inclusione (XX) è stato inserito quello (della segnalante)”.
In via preliminare si osserva che, ai sensi dell’art. 4 par.1, n. 15 del Regolamento sono considerati dati relativi alla salute “i dati personali attinenti alla salute fisica e mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni sul suo stato di salute”.
Stante la definizione di dato personale e di dato relativo alla salute (art. 4, punti 1 e 15, del Regolamento), si ritiene che il riferimento al PEI, ossia al documento recante il “Programma educativo individualizzato” riguardante i ragazzi con disabilità, previsto dalla normativa di settore in materia di disabilità, rappresenti di per sé una informazione relativa allo stato di salute dell’alunno al quale tale documento viene riferito.
Tale documento è elaborato e approvato dal Gruppo di lavoro operativo per l'inclusione scolastica e le informazioni relative alla stesura o verifica del PEI recanti l’indicazione del nominativo dell’alunno per il quale tale documento viene stilato, possono essere fornite solo ai genitori dello studente interessato, ai docenti della classe di appartenenza di quest’ultimo e ai soggetti individuati dalla normativa di settore, coinvolti nell’intervento terapeutico e formativo seguito dall’alunno stesso (cfr. artt. 7 e 9, comma 10, d.lgs. 13 aprile 2017, n. 66).
Risulta inoltre accertato che le richiamate e-mail, inviate dall’Istituto, recavano in chiaro gli indirizzi di posta elettronica dei destinatari, compreso quello della segnalante.
Al riguardo si evidenzia che il Garante, anche se con riferimento all’utilizzo di liste per l’invio di più e-mail o sms per finalità promozionali, ha avuto modo di chiarire che l’invio di messaggi di posta elettronica “con mailing list in chiaro costituisce di fatto una comunicazione di dati personali (quelli relativi agli altri indirizzi di posta) a terzi, ossia ai molteplici destinatari” della e-mail. Risulta necessario pertanto mantenere riservati, magari utilizzando la funzione "ccn" (ossia l'inoltro per conoscenza in "copia conoscenza nascosta"), gli indirizzi di posta utilizzati per l'invio” di e-mail (Cfr. punto 5 delle “Linee guida in materia di attività promozionale e contrasto allo spam” del 4 luglio 2013, consultabili sul sito internet www.garanteprivacy.it, doc. web n. 2542348).
Alla luce delle considerazioni che precedono, l’Istituto scolastico, inviando secondo le suddette modalità, le convocazioni delle riunioni del Gruppo di lavoro Operativo per l’inclusione scolastica contenenti dati personali relativi alla salute degli alunni ivi riportati e l’indicazione in chiaro degli indirizzi di posta elettronica dei destinatari delle note stesse e della segnalante, ha dato luogo a una “comunicazione” di dati personali e di categorie particolari di dati personali, in violazione degli artt. 5, 6, 9 del Regolamento e 2-ter e 2 sexies del Codice).
4. Conclusioni.
Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dall’Istituto, in qualità di titolare del trattamento, nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento ai sensi dell’art. 14, comma 1, del Regolamento del Garante n. 1/2019, non ricorrendo alcuno dei casi previsti dall’art. 11 ivi richiamato.
Pertanto, si confermano le valutazioni preliminari dell'Ufficio e si rileva l'illiceità del trattamento di dati personali effettuato dall’Istituto, in violazione degli artt. 5, 6 e 9 del Regolamento nonché dell’art. 2-ter e 2-sexies del Codice.
La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.
Considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.
5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).
Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle (altre) misure (correttive) di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio (del Garante) adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
Tenuto conto che la violazione delle disposizioni sopra citate da parte dell’Istituto ha avuto luogo in conseguenza di un’unica condotta, trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, tutte le violazioni accertate – artt. 5, 6 e 9 del Regolamento nonché degli artt. 2-ter e 2-sexies del Codice - sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000 (ventimilioni/00).
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.
Tenuto conto che:
- con specifico riguardo alla natura, alla gravità e alla durata della violazione, occorre considerare che la comunicazione di dati ha riguardato un numero ristretto di alunni (cfr. art. 83, par. 2, lett. a), del Regolamento);
- con specifico riguardo al profilo soggettivo della violazione la stessa è avvenuta per un errore di autocompletamento degli indirizzi e-mail, essendo stato inserito l’indirizzo e-mail della segnalante al posto di quello corretto della Responsabile della Funzione Strumentale per l’Inclusione (art. 83, par. 2, lett. b), del Regolamento);
- riguardo alle categorie di dati personali comunicati sono comprese categorie particolari di dati (art.83, par. 2, lett. g) del Regolamento).
Alla luce di tale specifica circostanza, si ritiene che, nel caso di specie, il livello di gravità di tale violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).
Nel premettere che il titolare del trattamento è un Istituto scolastico e, pertanto, un soggetto di ridotte dimensioni si devono considerare, altresì, le seguenti circostanze attenuanti:
- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento (art. 83, par. 2, lett. e), del Regolamento);
- il grado di cooperazione manifestato dal titolare con l'autorità di controllo (art. 83, par. 2, lett. f) del Regolamento);
- l’evento si è verificato per un mero errore materiale di autocompletamento dell’indirizzo e-mail, in quanto è stato inserito l’indirizzo e-mail della segnalante al posto di quello corretto della Responsabile della Funzione Strumentale per (art. 83, par. 2, lett. k) del Regolamento).
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 1.000,00 (mille/00) per la violazione degli artt. 5, 6 e 9 del Regolamento nonché dell’art. 2- ter e 2-sexies del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.
In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante.
Ciò in considerazione delle specifiche circostanze del caso concreto, riguardanti la comunicazione alle famiglie degli interessati, il corpo docente e alcuni professionisti sanitari di informazioni relative allo stato di salute di molteplici alunni.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
TUTTO CIÒ PREMESSO IL GARANTE
dichiara, ai sensi degli artt. 57, par. 1, lett. f), e 83 del Regolamento, rileva l’illiceità del trattamento effettuato dall’Istituto Comprensivo Statale Calenzano nei termini di cui in motivazione, per la violazione degli artt. 5, 6 e 9 del Regolamento nonché degli artt. 2-ter e 2-sexies del Codice;
ORDINA
ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, all’Istituto Comprensivo Statale Calenzano con sede in via P. Mascagni, 15 - 50041 Calenzano (FI), Codice fiscale 94081300488, di pagare la complessiva somma di euro 1.000,00 (mille/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;
INGIUNGE
all’Istituto Comprensivo Statale Calenzano di Calenzano (FI):
- di pagare la complessiva somma di euro 1.000,00 (mille/00) in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;
DISPONE
- ai sensi dell'art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell'ordinanza ingiunzione sul sito internet del Garante;
- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante;
- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 12 dicembre 2024
IL PRESIDENTE
Stanzione
IL RELATORE
Scorza
IL VICE SEGRETARIO GENERALE
Filippi
KEYWORDS
#privacy e trattamento dei dati personali#studenti: integrazione e disabilità
23/10/2025 n° 1
Area: Prassi, Circolari, Note
Autorità Garante nazionale dei diritti delle persone con disabilità
OGGETTO: accesso alla classe da parte di professionisti sanitari - raccomandazione ai sensi dell’art. 4, comma1 lett. g) del d. lgs.n.20/2024.
Il decreto legislativo 5 febbraio 2024, n. 20 ha istituito, in attuazione della delega contenuta nella legge n. 227/21, l’Autorità «Garante nazionale dei diritti delle persone con disabilità», con
l’obiettivo di assicurare la piena attuazione e la tutela dei diritti e degli interessi delle persone con disabilità, con l’attribuzione di una serie complessa di attività e prerogative nell’ambito
dell’esercizio di vigilanza sul rispetto dei diritti e sulla conformità ai principi stabiliti dai trattati internazionali e dalle disposizioni di carattere europeo e nazionale, di contrasto a qualsivoglia
fenomeno discriminatorio e di promozione dell’effettivo godimento di diritti e libertà fondamentali delle persone con disabilità.
Ciò premesso, si rappresenta che è pervenuta alla scrivente Autorità una segnalazione da parte della madre di un alunno, con disturbo dello spettro autistico, con disabilità grave ai sensi
dell’art. 3, comma 3, della L. 104/92, iscritto alla classe III di primo grado di un Istituto Comprensivo con sede in Roma.
La segnalante ha denunciato l’impossibilità, per l’anno scolastico in corso, di garantire la continuità terapeutica al proprio figlio in orario scolastico. In particolare, nel corso del mese di
settembre, il medico della ASL non ha potuto prestare la propria attività specialistica nelle due giornate tempestivamente comunicate all’istituzione scolastica, come da piano terapeutico
obbligatorio.
Detta interruzione -sino ad oggi- del progetto terapeutico, finanziato con oneri a carico del Sistema Sanitario Nazionale, discenderebbe dalla mancata “autorizzazione” all’accesso del medico
da parte di tutti i genitori degli alunni della classe.
Al proposito, questa Autorità Garante ha accertato che la vicenda di cui alla segnalazione non costituirebbe un caso isolato; ed invero, in diverse istituzioni scolastiche accade che, come nella
fattispecie segnalata, i dirigenti scolastici procedano secondo il seguente iter nell’ipotesi di accesso alla classe da parte di esperti esterni:
- ricevuta la comunicazione delle date di ingresso da parte dell’esperto, viene consegnato ai genitori di tutti gli alunni della classe interessata il “modulo di consenso informato per l’accesso di
esperti esterni in classe”, nel quale i genitori sono tenuti a rilasciare una serie di dichiarazioni.
In particolare, i genitori devono dichiarare:
- “di essere stati informati dall’insegnante di sezione/classe in merito alla presenza di un esperto esterno impegnato nell’osservazione di un alunno presente nella classe/sezione” e di essere
“d’accordo con tale attività”;
- “di essere stati informati che il/la terapista/specialista sanitario si adeguerà al rispetto della Tutela della riservatezza della privacy, ai sensi della normativa vigente GDPR, non
diffondendo alcuna informazione relativa alle attività degli alunni presenti nella sezione/classe”.
Da ultimo, i genitori sono tenuti a dichiarare che “esprimono il proprio consenso con la sottoscrizione della presente dichiarazione”.
Nel caso, oggetto della segnalazione, il Regolamento d’istituto prevede che l’accesso ai suddetti soggetti esterni sia consentito previa “autorizzazione” del Dirigente Scolastico e, in
chiusura, riconosce che “per tutto quanto non previsto nel presente Regolamento si fa riferimento alla vigente normativa”.
Altri regolamenti d’istituto richiedono, oltre al consenso da parte di tutti i genitori, anche la dichiarazione sostitutiva del certificato generale del casellario giudiziale e dei carichi pendenti da
parte del terapista e dello specialista sanitario. Richiesta, quest’ultima, che risulta del tutto priva di giustificazione in considerazione del rapporto organico/lavorativo del soggetto “esterno” con il
Sistema Sanitario Nazionale ovvero con un soggetto accreditato e autorizzato, che -a sua volta-deve aver già verificato che il proprio dipendente/collaboratore possieda tutti i requisiti di
professionalità. Tale prassi integra, peraltro, un immotivato aggravamento degli adempimenti in capo al personale specializzato, tenuto a svolgere l’incarico affidatogli.
Ciò premesso, si evidenzia che la richiesta del consenso da parte di tutti i genitori all’accesso di esperti esterni (nel caso oggetto di segnalazione, peraltro, finalizzata alla corretta e
completa attuazione di un progetto terapeutico), a favore di alunni con disabilità si pone in contrasto con i principi, anche sovranazionali, che sanciscono l’obbligo da parte degli ordinamenti nazionali e
di tutti i soggetti interessati, in particolare istituzionali, di “assicurare la tutela, la concreta attuazione e la promozione dei diritti delle persone con disabilità in conformità a quanto previsto
dal diritto internazionale, dal diritto dell’Unione Europea e dalle norme nazionali”.
Il Garante, infatti, attraverso l’esercizio delle funzioni e delle prerogative riconosciute allo scrivente dal D. Lgs. 20/2024, ha il compito di vigilare sul rispetto dei diritti e sulla conformità ai
principi stabiliti dalla Convenzione delle Nazioni Unite sui diritti delle persone con disabilità, fatta a New York il 13 dicembre 2006 e ratificata e resa esecutiva con legge 18/2009, e dagli altri trattati internazionali, dalla Costituzione, dalle leggi dello Stato e dai regolamenti in materia di diritti delle
persone con disabilità.
Per assicurare il pieno rispetto di tali principi, è necessario che gli ordinamenti nazionali garantiscano l’incondizionato ed effettivo godimento dei diritti e delle libertà fondamentali delle
persone con disabilità, al pari degli altri cittadini, come il diritto allo studio e, contestualmente, il diritto alla salute degli alunni con disabilità, prevalenti anche rispetto ad altri interessi.
Come sottolineato dal Ministero dell’Istruzione e del Merito (https://www.istruzione.it/archivio/web/istruzione/famiglie/alunni_disabili.html), “il diritto allo
studio degli alunni con disabilità si realizza, secondo la normativa vigente, attraverso l’integrazione scolastica, che prevede l’obbligo dello Stato di predisporre adeguate misure di
sostegno, alle quali concorrono a livello territoriale, con proprie competenze, anche gli Enti Locali e il Servizio Sanitario Nazionale. La comunità scolastica e i servizi locali hanno pertanto il compito
di “prendere in carico” e di occuparsi della cura educativa e della crescita complessiva della persona con disabilità, fin dai primi anni di vita. Tale impegno collettivo ha una meta ben precisa:
predisporre le condizioni per la piena partecipazione della persona con disabilità alla vita sociale, eliminando tutti i possibili ostacoli e le barriere, fisiche e culturali, che possono frapporsi fra la
partecipazione sociale e la vita concreta delle persone con disabilità”.
In applicazione della legge 104/92 e delle “Linee guida per l’integrazione degli alunni con disabilità”, diramate con nota del 4 agosto 2009, le Istituzioni devono riconoscere la tutela, la
partecipazione alla vita sociale delle persone con disabilità, in particolare nei luoghi per essa fondamentali, come la scuola, durante l’infanzia e l’adolescenza.
Il Piano Educativo Individualizzato, stilato in ambito scolastico, deve tener conto inevitabilmente del piano terapeutico che concorre a determinare il percorso formativo dell’alunno
con disabilità nel suo complesso, assicurando un intervento adeguato allo sviluppo delle potenzialità ed alla gestione e superamento di problematiche connesse con la specifica disabilità.
In tale contesto, per “professionisti sanitari esterni” si intendono i soggetti iscritti ai rispettivi ordini professionali e incaricati dalla ASL competente, dagli enti/strutture accreditate e/o
autorizzate ai sensi della normativa vigente, ovvero facenti parte dell’équipe multidisciplinare contemplata nel piano terapeutico, nel progetto riabilitativo, assistenziale o nel progetto di vita
dell’alunno con disabilità.
La circostanza dell’accesso dello specialista per l’attuazione del piano terapeutico individuale è del tutto peculiare proprio in considerazione della necessità della presenza esterna
esclusivamente per l’alunno interessato, non richiedendo interazioni con il resto della classe e dovendo garantire la continuità terapeutica anche in contesto scolastico con i professionisti
incaricati. L’accesso dei suddetti soggetti esterni non viola alcuna norma relativa alla tutela della riservatezza degli (altri) studenti, anche minorenni, in quanto i piani terapeutici non prevedono che
gli specialisti (terapisti e operatori sanitari) interagiscano direttamente con gli (altri) alunni e -in ogni caso- sono tenuti a restare in classe sempre in contemporanea con il docente di riferimento.
Ciò premesso, ai sensi di quanto stabilito dal d.lgs. 5 febbraio 2024 n. 20 ed in particolare dall’art. 4, lett. a), b), c), g), l’Autorità Garante formula agli Uffici Scolastici Regionali la seguente
raccomandazione:
- nelle ipotesi di accesso di professionisti sanitari esterni incaricati (dipendenti della ASL, di ente/struttura accreditata e/o autorizzata presso il SSN/SSR, ovvero iscritti ai rispettivi albi
professionali e coinvolti nel piano terapeutico, riabilitativo, assistenziale o nel progetto di vita dell’alunno con disabilità), necessari per l’attuazione del progetto personalizzato in favore di alunni
e studenti con disabilità, deve essere rilasciata esclusivamente l’autorizzazione del Dirigente Scolastico, previa comunicazione del predetto accesso ai docenti e ai genitori degli altri alunni della
classe interessata e previa dichiarazione dello specialista in ordine al rispetto di tutte le disposizioni in materia di riservatezza, con l’impegno a non interagire direttamente con gli alunni non interessati
e a permanere nella classe sempre in presenza del docente.
Alla luce di quanto sopra, si sollecita la modifica di qualsivoglia regolamento d’istituto che preveda una procedura differente rispetto alla suddetta raccomandazione, ivi compresa la richiesta
del consenso dei docenti e dei genitori degli altri studenti a permettere l’ingresso in classe del professionista esterno, non potendo tale ingresso essere sottoposto, e quindi limitato, ritardato
ovvero negato, in caso di mancato consenso da parte anche di uno solo dei soggetti coinvolti.
Al fine di assicurare la tutela effettiva dei diritti costituzionalmente garantiti di tutti gli studenti interessati ed uniformità di condotta su tutto il territorio nazionale, si chiede di assicurare la
massima diffusione della presente raccomandazione presso tutte le istituzioni scolastiche, di ogni ordine e grado, pubbliche, paritarie e private.
Il Collegio
Maurizio Borgo
Francesco Vaia
Antonio Pelagatti
KEYWORDS
#studenti: integrazione e disabilità#scuola e salute
27/03/2025 n° 167
Area: Prassi, Circolari, Note
[doc. web n. 10138981]
Provvedimento del 27 marzo 2025
Registro dei provvedimenti
n. 167 del 27 marzo 2025
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore l'avv. Guido Scorza;
PREMESSO
1. Introduzione.
Con reclamo presentato ai sensi dell’art. 77 del Regolamento, i Sig.ri XX, XX e XX hanno lamentato, per il tramite del proprio difensore, una presunta violazione della disciplina in materia di protezione dei dati personali con riguardo all’impiego, presso le sedi dell’Istituto di Istruzione Superiore “P. Galluppi” Tropea, di un sistema di rilevazione delle presenze del personale dipendente amministrativo che, richiedendo l’utilizzo delle impronte digitali dei lavoratori, implicherebbe il trattamento dei relativi dati biometrici al fine di identificarli in modo univoco.
2. L’attività istruttoria.
Al riguardo, nell’ambito dell’istruttoria, con nota del XX, l’Istituto ha dichiarato, in particolare, che:
“nelle diverse sedi dell’IIS di Tropea il personale ATA attesta la propria presenza in servizio per mezzo di rilevatore con badge acquisito nell’anno scolastico XX […] Nel corso del tempo, tuttavia, [… l’Istituto] ha rilevato situazioni che hanno generato il dubbio sul corretto utilizzo del badge e sulla effettiva presenza in servizio di titolari del badge, oltre ad episodi di manomissioni, danneggiamenti e atti vandalici. Per fare fronte alle azioni suddette e accertarsi della effettiva presenza in servizio dei dipendenti nelle ore previste, la Dirigenza della Scuola ha proposto al personale, a sua esclusiva tutela, l’integrazione del sistema di rilevazione con l’utilizzo dell’impronta digitale in abbinamento al badge, accolto con favore dallo stesso”;
“il sistema adottato è stato scelto sulla base della garanzia in ordine alla correttezza del trattamento dati ed alla conformità al GDPR rilasciate dall’azienda fornitrice”;
“non si è pensato di dover informare e coinvolgere il DPO, ritenendo sufficienti le indicazioni tecniche e le garanzie fornite dall’azienda oltre al consenso prestato dal personale ATA coinvolto ed anzi alla sollecitazione, da parte dello stesso, circa l’adozione di tale sistema a garanzia di tutti”;
“al personale coinvolto, per consentire di esprimere un consenso libero, è stata garantita la possibilità di usare alternativamente il sistema di rilevazione delle presenze con badge senza associazione dell’impronta. […] Tranne i due Signori [… tra i reclamanti], tutto il personale ATA (34 unità), in servizio presso l’Istituto d’Istruzione Superiore di Tropea, ha prestato il consenso all’integrazione del sistema di rilevazione delle presenze […] Agli atti della scuola sono conservati i consensi sottoscritti dal personale ATA interessato”;
“a seguito della ricezione del reclamo [ossia in data XX, giorno in cui l’Autorità ha trasmesso all’Istituto una richiesta di informazioni ai sensi dell’art. 157 Codice], [… l’Istituto] ha nell’immediatezza sospeso la rilevazione delle presenze con badge abbinato all’impronta digitale. Ad oggi, nonostante le richieste di tutto il personale ATA (tranne le due unità che hanno presentato reclamo) di riattivazione del sistema badge con impronta, sollevate e sollecitate dallo stesso durante le riunioni di avvio anno XX, con la disponibilità di tutto il personale suddetto a prestare richiesta scritta e ulteriore consenso alla riattivazione del sistema, la rilevazione delle presenze in servizio è attestata con il SOLO uso del badge SENZA impronta”.
Quanto, più nello specifico, al funzionamento del sistema di rilevazione delle presenze precedentemente in uso presso l’Istituto, dalla documentazione tecnica trasmessa in allegato alla predetta nota del XX si evince, in particolare, che:
“il funzionamento del lettore di impronte digitali, quale strumento di verifica biometrica comprende 2 fasi principali: A. Registrazione (enrolment): le caratteristiche dell'impronta digitale sono acquisite tramite il lettore del terminale, digitalizzate, elaborate e compresse mediante un algoritmo matematica irreversibile (da non confondersi con il processo di criptografia o crittografia) fino ad ottenerne un modello matematico (template) che, associato al codice identificativo della persona, diviene la base dei successivi confronti o verifiche; B. Verifica (matching): le caratteristiche dell'impronta digitale sono acquisite, digitalizzate, elaborate e compresse in modo identico a quello della fase di registrazione fino ad ottenere un analogo modello matematico. Il confronto tra il modello (template) archiviato relativo al codice di riferimento ed il risultato della lettura determina, in base allo scostamento, il risultato della verifica”;
“nel [predetto] modello […] vengono memorizzati solo dei numeri di riferimento […] e non la caratteristica biometrica vera e propria. Questo rende impossibile risalire dal template all'impronta stessa, rendendo così sicura, in materia di privacy, l'identità dei soggetti registrati”;
“il [predetto] template può essere memorizzato direttamente nella memoria del lettore oppure può essere memorizzato su un badge in dotazione all'utente, in entrambi i casi sono archiviati solo i seguenti dati: codice utente; è un puro codice di riferimento, assimilabile al numero di matricola; modello (template) è un puro numero, assimilabile al codice presente in una banda magnetica di un badge […;] elenco eventi: data/ora, codice utente, indirizzo del terminale ed eventuale codice causale (giustificativo) sono gli unici risultati memorizzati dopo le verifiche operate dal lettore biometrico, dati equivalenti ai dati "classici" di un terminale di gestione presenze”;
“nel lettore biometrico del terminale […] non sono quindi presenti: dati anagrafici dell'utente; immagine dell'impronta digitale dell'utente; dati fisici diretti o deducibili dell'impronta digitale”.
Con nota del XX, l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato all’Istituto, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per aver trattato i dati personali biometrici dei dipendenti amministrativi, tecnici e ausiliari (A.T.A.) al fine di identificarli in modo univoco per rilevarne la presenza in servizio, in maniera non conforme al principio di “liceità, correttezza e trasparenza” nonché in assenza di un idoneo presupposto normativo, in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento.
Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).
Con nota del XX, l’Istituto, che non ha richiesto di essere audito, ha presentato una memoria difensiva, dichiarando, in particolare, che:
- “il sistema di rilevazione delle presenze tramite badge abbinato all’impronta digitale, è stato avviato [… dall’Istituto] nel XX”
- “contestualmente [alla sospensione dell’impiego del predetto sistema nel XX], sono state effettuate le operazioni di cancellazione di tutti i dati biometrici acquisiti dal sistema e impostato lo stesso per il funzionamento con il solo badge senza associazione dell’impronta”.
- “ad oggi […] la rilevazione delle presenze in servizio è attestata con il solo uso del badge senza impronta”.
3. Il quadro normativo in materia di protezione dei dati personali.
Con riferimento alla questione prospettata nel reclamo si evidenzia, in via preliminare, che i dati biometrici sono definiti dal Regolamento come “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici” (art. 4, punto 14), del Regolamento) e, laddove intesi a identificare in modo univoco una persona fisica, sono ricompresi tra le categorie “particolari” di dati personali (art. 9 del Regolamento) in ragione della loro delicatezza, derivante dalla stretta e stabile relazione con l’individuo e la sua identità.
Il trattamento di dati biometrici, di regola vietato per effetto del disposto di cui all’art. 9, par. 1, del Regolamento, è consentito esclusivamente al ricorrere di una delle condizioni indicate dell’art. 9, par. 2 del Regolamento e, in ambito lavorativo, solo quando sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), del Regolamento; v. pure, art. 88, par. 1 e cons. 51-53 del Regolamento).
Il quadro normativo vigente prevede inoltre che il trattamento di dati biometrici, per poter essere lecitamente posto in essere, avvenga nel rispetto di “ulteriori condizioni, comprese limitazioni” (cfr. art. 9, par. 4, del Regolamento); a tale disposizione è stata data attuazione, nell’ordinamento nazionale, con l’art. 2-septies (Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute) del Codice (come modificato dal decreto legislativo 10 agosto 2018 n. 101 di adeguamento della normativa nazionale alle disposizioni del Regolamento). La norma prevede che è lecito il trattamento di tali categorie di dati al ricorrere di una delle condizioni di cui all’art. 9, par. 2, del Regolamento “ed in conformità alle misure di garanzia disposte dal Garante”, in relazione a ciascuna categoria dei dati.
Il datore di lavoro, titolare del trattamento, è, in ogni caso, tenuto a rispettare i principi di protezione dei dati personali, tra cui in particolare quelli di “liceità, correttezza e trasparenza”, “minimizzazione” e protezione dei dati “fin dalla progettazione” e “per impostazione predefinita” (artt. 5 e 25 del Regolamento).
4. Esito dell’attività istruttoria.
Dall’accertamento compiuto sulla base degli elementi acquisiti e dei fatti emersi all’esito dell’attività istruttoria, nonché delle successive valutazioni dell’Autorità, risulta accertato che, a partire dal XX e sino alla data del XX, l’Istituto ha fatto uso, presso le proprie sedi, di un sistema di rilevazione delle presenze del personale A.T.A. che richiedeva l’utilizzo delle impronte digitali dei lavoratori che avessero rilasciato il proprio consenso, con ciò dando luogo ad un trattamento dei relativi dati biometrici inteso ad identificare in modo univoco i singoli dipendenti al fine di rilevarne la presenza in servizio nonché nell’ottica di prevenire “episodi di manomissioni, danneggiamenti e atti vandalici” (cfr. nota del XX).
In particolare, è stato accertato che il predetto sistema, elaborando le caratteristiche dell'impronta digitale acquisita, permette di creare un modello matematico che, venendo associato al codice identificativo del singolo interessato, costituisce il termine di raffronto delle successive verifiche all’atto della timbratura dei dipendenti.
Ancorché lo stesso non mantenga traccia dei dati anagrafici dei dipendenti, dell’immagine o di “dati fisici diretti o deducibili” delle relative impronte digitali e, per altro verso, “la "ricostruzione dell'impronta digitale" partendo dal modello non [… sia] possibile, nemmeno conoscendo l'algoritmo di elaborazione” (cfr. nota del XX), si osserva quanto segue.
Le informazioni trattate per il tramite di tale sistema risultano comunque riconducibili ad un codice direttamente identificativo del singolo dipendente, ne consentono o confermano l’identificazione univoca e costituiscono pertanto dati personali biometrici (cfr. art. 4, nn. 1) e 14), del Regolamento).
Ciò premesso, si fa presente che la finalità di rilevazione delle presenze in servizio dei dipendenti, funzionale all’attestazione dell’osservanza dell’orario di lavoro alla sua contabilizzazione, che, in generale, nell’ambito del pubblico impiego, è prevista da un quadro normativo stratificatosi nel tempo (v. ad esempio, art. 22, comma 3 della l. 23.12.1994, n. 724; art. 3 della l. 24.12.2007, n. 244; art. 7 del d.P.R. 1.02.1986, n. 13), è riconducibile nell’ambito di applicazione dell’articolo 9 par. 2, lett. b) del Regolamento poiché implica un trattamento “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro […]” (v. pure art. 88, par. 1, Regolamento). Tuttavia, l’impiego di sistemi di rilevazione delle presenze che comportano anche il trattamento di dati biometrici richiede, nel sistema del Regolamento e del Codice, un’espressa previsione normativa e specifiche garanzie per i diritti degli interessati (il trattamento è infatti consentito “nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri […] in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”, art. 9, par. 2, lett. b), del Regolamento e cons. 51-53, e “nel rispetto delle misure di garanzia” individuate dal Garante ai sensi dell’art. 9, par. 4, del Regolamento e dell’art. 2-septies del Codice).
Nel contesto lavorativo il trattamento avente a oggetto dati biometrici può essere lecitamente posto in essere solo ove lo stesso trovi il proprio fondamento in una disposizione normativa che possa essere ritenuta base giuridica del trattamento “idonea” anche alla luce dell’assetto delle fonti dell’“ordinamento costituzionale” dello Stato membro (v. considerando 41 del Regolamento e v. anche Corte Cost. sent. n. 271/2005, in base alla quale la disciplina di protezione dei dati personali rientra fra la materia di competenza esclusiva statale riferita all’“ordinamento civile”). Tale disposizione deve, infatti, avere le caratteristiche richieste dalla disciplina di protezione dei dati e soddisfare specifici requisiti, sia in termini di qualità della fonte, contenuti necessari e misure appropriate e specifiche per tutelare i diritti e le libertà degli interessati, sia in termini di proporzionalità dell’intervento regolatorio rispetto alle finalità che si intendono perseguire (art. 6, parr. 2 e 3, lett. b), del Regolamento). Ciò in quanto, la base giuridica del trattamento, per poter essere considerata una valida condizione di liceità del trattamento, deve, tra l’altro, “persegu[ire] un obiettivo di interesse pubblico ed [essere] proporzionato all’obiettivo legittimo perseguito” (art. 6, par. 3, lett. b), del Regolamento).
Al riguardo, si fa presente inoltre che l’art. 2 della l. 19 giugno 2019, n. 56, recante “Interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell’assenteismo”, aveva previsto una generalizzata sostituzione dei sistemi di rilevazione automatica delle presenze con sistemi di rilevazione di dati biometrici unitamente all’impiego di sistemi di videosorveglianza prevedendo che, “ai fini della verifica dell’osservanza dell’orario di lavoro”, le amministrazioni pubbliche - individuate ai sensi dell’art. 1, comma 2, del d.lgs. n. 165/2001, ad esclusione del “personale in regime di diritto pubblico” (cfr. art. 3, comma 2, d.lgs. n. 165/2001), e quello sottoposto alla disciplina del lavoro agile di cui all’articolo 18 della legge 22 maggio 2017, n. 81 - “introducono sistemi di identificazione biometrica e di videosorveglianza in sostituzione dei diversi sistemi di rilevazione automatica attualmente in uso” ma prevede anche che le “modalità attuative” della norma – nel rispetto dell’art. 9 del Regolamento e delle misure di garanzia definite dal Garante ai sensi dell’art. 2-septies del Codice – siano individuate con d.P.C.M., su proposta del Ministro della funzione pubblica, previa intesa con la conferenza unificata (stato regioni e autonomie locali) e “previo parere del Garante ai sensi dell’art. 154 del Codice sulle modalità del trattamento dei dati biometrici”.
Nell’esercizio dei propri poteri consultivi sugli atti normativi (artt. 36, par. 4 e 58, par. 3 del Regolamento nonché art. 154 del Codice), il Garante aveva, a suo tempo, segnalato al legislatore nazionale le criticità della norma evidenziando, in particolare, “l’eccedenza rispetto alle finalità che si intendono perseguire, anche sotto il profilo della gradualità delle misure limitative che possono essere adottate nei confronti dei lavoratori” (cfr. provv. 11 ottobre 2018, n. 464, doc. web n. 9051774) e - confermando quanto già rilevato nel corso delle audizioni dinanzi alle Commissioni parlamentari competenti (audizioni presso le Commissioni riunite I e XI, Affari Costituzionali e Lavoro, della Camera dei Deputati il 6 febbraio 2019, doc. web n. 9080870) -, ha ribadito, anche in relazione allo schema di regolamento di attuazione, peraltro mai adottato, che “non può ritenersi in alcun modo conforme al canone di proporzionalità- come declinato dalla giurisprudenza europea e interna– l’ipotizzata introduzione sistematica, generalizzata e indifferenziata per tutte le pubbliche amministrazioni di sistemi di rilevazione biometrica delle presenze, in ragione dei vincoli posti dall’ordinamento europeo sul punto, a motivo dell’invasività di tali forme di verifica e delle implicazioni derivanti dalla particolare natura del dato” (provv. 19 settembre 2019, n. 167, doc. web n. 9147290).
Le disposizioni che prevedevano l’introduzione di sistemi di rilevazione biometrica delle presenze, in ambito pubblico, contenute nei commi da 1 a 4 dell’art. 2 della l. 19 giugno 2019, n. 56, sono state da ultimo abrogate dalla l. 30 dicembre 2020, n. 178 (c.d. Legge di Bilancio 2021, art. 1, comma 958).
Per tali ragioni, si evidenzia che, in assenza di specifiche disposizioni che prevedano il trattamento dei dati biometrici per finalità di rilevazione delle presenze e delle relative garanzie, il relativo trattamento non può essere lecitamente effettuato, non sussistendo base giuridica.
In tale quadro, il Garante in numerosi casi ha accertato l’illiceità del trattamento dei dati biometrici dei dipendenti per la finalità di rilevazione delle presenze posto in essere da soggetti pubblici e privati in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento, adottando i conseguenti provvedimenti correttivi e sanzionatori (provv. 15 dicembre 2022, n. 422, doc. web n. 9852776; provv. 15 dicembre 2022, n. 423, doc. web n. 9852800; provv. 14 gennaio 2021, n. 16, doc. web n. 9542071; per analoghe considerazioni in ambito privato, cfr. provv. 22 febbraio 2024, n. 105, 106, 107, 108 e 109, doc. web nn. 9995680, 9995701, 9995741, 9995762, 9995785; provv. 10 novembre 2022, n. 369, doc. web n. 9832838).
Nei menzionati provvedimenti, il Garante ha altresì avuto modo di chiarire come il difetto di base giuridica, in merito al trattamento dei dati biometrici, non possa essere colmato neppure dal consenso dei dipendenti, che l’Istituto ha dichiarato di aver acquisito nel caso di specie, assicurando altresì ai dipendenti che non lo avessero rilasciato la possibilità di attestare la propria presenza in servizio senza conferire a tal fine dati biometrici. Ciò in quanto, alla luce della asimmetria tra le rispettive parti del rapporto di lavoro e la conseguente, eventuale, necessità di accertare, di volta in volta e in concreto, l’effettiva libertà della manifestazione di volontà del dipendente, il consenso non costituisce, di regola, un valido presupposto di liceità per il trattamento dei dati personali in ambito lavorativo, indipendentemente dalla natura pubblica o privata del datore di lavoro (cons. n. 43; art. 4, punto 11), e art. 7, par. 3 e 4, del Regolamento; v., l’orientamento consolidato in sede europea, Gruppo di lavoro "Articolo 29", Parere 2/2017 sul trattamento dei dati sul posto di lavoro, WP 249, p. 7 e 26 e Linee Guida sul consenso ai sensi del Regolamento UE 2016/679- WP 259- del 4 maggio 2020).
Per le ragioni che precedono, deve concludersi che il trattamento dei dati personali biometrici dei dipendenti amministrativi, tecnici e ausiliari (A.T.A.), effettuato dall’Istituto al fine di identificarli in modo univoco per rilevarne la presenza in servizio, è stato posto in essere in maniera non conforme al principio di “liceità, correttezza e trasparenza” nonché in assenza di un idoneo presupposto normativo, in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento
5. Conclusioni.
Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Istituto, per aver effettuato il predetto trattamento in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento.
Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l’importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, le violazioni sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.
In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti - atteso che l’Istituto ha dichiarato di aver sospeso l’utilizzo del sistema di rilevazione biometrica delle presenze dei dipendenti A.T.A. nel XX nonché di aver cancellato i dati biometrici precedentemente raccolti - non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.
6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).
Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).
Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.
La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.
Tenuto conto, in particolare, che:
il trattamento, che ha riguardato unicamente i dipendenti A.T.A. (34 persone), ai quali era comunque riconosciuta la possibilità di registrare la propria presenza in servizio attraverso modalità tradizionali che non comportavano il trattamento di dati biometrici (art. 83, par. 2, lett. a), del Regolamento);
il titolare, nel fare affidamento sulle informazioni rese dalla società fornitrice del sistema, ha ritenuto di non consultare il proprio responsabile della protezione dei dati, iniziativa che avrebbe invece consentito allo stesso di avvedersi degli specifici ed elevati rischi per i diritti e le libertà degli interessati coinvolti e di orientare le proprie scelte al riguardo in maniera maggiormente consapevole e, se del caso, diversa (art. 83, par. 2, lett. b), del Regolamento);
il trattamento ha avuto ad oggetto dati biometrici intesi ad identificare in modo univoco gli interessati di cui agli artt. 4, n. 14), del Regolamento, dati che, analogamente a quelli sulla salute e genetici, sono tutelati in maniera particolarmente stringente dal Regolamento e dal Codice (cfr. art. 83, par. 2, lett. g), del Regolamento),
si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia alto (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).
Ciò premesso, nel tenere presente che, comunque, il titolare è costituito da un istituto scolastico, si ritiene che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le seguenti circostanze attenuanti:
il titolare ha offerto una buona cooperazione con l’Autorità nel corso dell’istruttoria, avendo, peraltro, fornito tempestiva comunicazione delle iniziative intraprese per porre rimedio alla violazione (art. 83, par. 2, lett. f), del Regolamento);
non risultano precedenti violazioni pertinenti commesse dall’Istituto (art. 83, par. 2, lett. e), del Regolamento).
In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 4.000,00 (quattromila/00) per la violazione degli artt. 5, 6 e 9 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.
Si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione della particolare natura dei dati personali oggetto di trattamento e dei connessi rischi per gli interessati nel contesto lavorativo.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.
TUTTO CIÒ PREMESSO IL GARANTE
dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dall’Istituto di Istruzione Superiore “P. Galluppi” Tropea per violazione degli artt. 5, 6 e 9 del Regolamento, nei termini di cui in motivazione;
ORDINA
all’Istituto di Istruzione Superiore “P. Galluppi” Tropea in persona del legale rappresentante pro-tempore, con sede legale in viale Coniugi Crigna snc - 89861 Tropea (VV), C.F. 96012510796, di pagare la somma di euro 4.000,00 (quattromila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;
INGIUNGE
al predetto Istituto, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 4.000,00 (quattromila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;
DISPONE
- ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;
- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;
- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 27 marzo 2025
IL PRESIDENTE
Stanzione
IL RELATORE
Scorza
IL SEGRETARIO GENERALE
Mattei
KEYWORDS
#privacy e trattamento dei dati personali
n° 1
Area: Normativa
1. Al fine di fronteggiare le situazioni di degrado, vulnerabilità sociale e disagio giovanile presenti nel territorio del Comune di Caivano, con decreto del Presidente del Consiglio dei ministri, da adottarsi entro quindici giorni dalla data di entrata in vigore del presente decreto, è nominato un Commissario straordinario con il compito di predisporre e attuare un piano straordinario di interventi infrastrutturali o di riqualificazione funzionale al territorio del predetto comune, prevedendo, laddove occorra, anche una semplificazione per le procedure di concessione di immobili pubblici per fini sociali, con particolare riferimento al sostegno a enti del Terzo settore operanti in ambito artistico e culturale, sociosanitario, sportivo, di contrasto alla povertà educativa e per l'integrazione. Il piano straordinario è predisposto dal Commissario straordinario d'intesa con il Comune di Caivano e con il Dipartimento per le politiche di coesione della Presidenza del Consiglio dei ministri e, per gli interventi di cui al comma 4, sulla base dell'attività istruttoria del Genio militare. Il predetto piano è approvato con delibera del Consiglio dei ministri, con assegnazione delle relative risorse nel limite complessivo di euro 30 milioni, a valere sul Fondo per lo sviluppo e la coesione, periodo di programmazione 2021-2027, di cui all'articolo 1, comma 177, della legge 30 dicembre 2020, n. 178 e in coerenza con le disponibilità finanziarie dello stesso (1).
2. Per la realizzazione degli interventi approvati ai sensi del comma 1 si provvede in deroga a ogni disposizione di legge diversa da quella penale, fatto salvo il rispetto dei principi generali dell'ordinamento, delle disposizioni del codice delle leggi antimafia e delle [relative] misure di prevenzione di cui al decreto legislativo 6 settembre 2011, n. 159, nonché dei vincoli inderogabili derivanti dall'appartenenza all'Unione europea. In relazione agli interventi inseriti nel piano di cui al comma 1, fatto salvo quanto previsto al comma 4, il Commissario straordinario si avvale del supporto tecnico-operativo, ai sensi dell'articolo 10, commi 1 e 2, del decreto-legge 31 maggio 2021, n. 77, convertito, con modificazioni, dalla legge 29 luglio 2021, n. 108, dell'Agenzia nazionale per l'attrazione degli investimenti e lo sviluppo d'impresa - INVITALIA S.p.A., che svolge altresì le funzioni di centrale di committenza ai sensi dell'articolo 63 del codice dei contratti pubblici, di cui al decreto legislativo 31 marzo 2023, n. 36, con oneri posti a carico dello stanziamento previsto dal comma 1, come determinato nella delibera del Consiglio dei ministri, e comunque[,] nel limite massimo del due per cento di detto stanziamento, al netto di quanto previsto dal comma 4 (1).
3. Per l'esercizio dei compiti assegnati, il Commissario straordinario resta in carico un anno, prorogabile di un ulteriore anno, e si avvale di una struttura di supporto posta alle sue dirette dipendenze, costituita con decreto del Presidente del Consiglio dei ministri e che opera sino alla data di cessazione dell'incarico del Commissario straordinario. Alla struttura di supporto è assegnato un contingente massimo di personale pari a cinque unità, di cui una di personale dirigenziale di livello non generale e quattro di personale non dirigenziale, dipendenti di pubbliche amministrazioni centrali e di enti territoriali, previa intesa con le amministrazioni e con gli enti predetti, in possesso delle competenze e dei requisiti di professionalità richiesti per il perseguimento delle finalità e l'esercizio delle funzioni di cui al presente articolo, con esclusione del personale docente, educativo, amministrativo, tecnico e ausiliario delle istituzioni scolastiche. Il personale di cui al secondo periodo, ai sensi dell'articolo 17, comma 14, della legge 15 maggio 1997, n. 127, è collocato fuori ruolo o in posizione di comando, distacco o altro analogo istituto o posizione previsti dai rispettivi ordinamenti, conservando lo stato giuridico e il trattamento economico fondamentale dell'amministrazione di appartenenza. Al personale non dirigenziale della struttura di supporto è riconosciuto il trattamento economico accessorio, ivi compresa l'indennità di amministrazione, del personale non dirigenziale del comparto della Presidenza del Consiglio dei ministri e, con uno o più provvedimenti del Commissario straordinario, può essere riconosciuta la corresponsione di compensi per prestazioni di lavoro straordinario nel limite massimo di trenta ore mensili effettivamente svolte, oltre a quelle già previste dai rispettivi ordinamenti e comunque nel rispetto della disciplina in materia di orario di lavoro, di cui al decreto legislativo 8 aprile 2003, n. 66. All'atto del collocamento fuori ruolo è reso indisponibile, nella dotazione organica dell'amministrazione di provenienza, per tutta la durata del collocamento fuori ruolo, un numero di posti equivalente dal punto di vista finanziario. Con il provvedimento istitutivo della struttura di supporto sono determinate, nei limiti di quanto previsto dal comma 1, le specifiche dotazioni finanziarie e strumentali nonché quelle del personale, anche dirigenziale, di cui al secondo periodo del presente comma, necessarie al funzionamento della medesima struttura. Per l'esercizio delle proprie funzioni, il Commissario straordinario può avvalersi, altresì, delle strutture delle amministrazioni locali e degli enti territoriali, nonché delle strutture periferiche delle amministrazioni centrali dello Stato. Il Commissario straordinario, per le finalità di cui al comma 1, può altresì avvalersi di un numero massimo di tre esperti di comprovata qualificazione professionale, nominati con proprio provvedimento, cui compete un compenso massimo annuo di euro 50.000 al lordo dei contributi previdenziali e degli oneri fiscali a carico dell'amministrazione per singolo incarico. Il compenso del Commissario straordinario è determinato con il decreto di cui al comma 1 del presente articolo in misura non superiore a quella indicata all'articolo 15, comma 3, del decreto-legge 6 luglio 2011, n. 98, convertito, con modificazioni, dalla legge 15 luglio 2011, n. 111 con oneri a carico delle risorse di cui al comma 1 del presente articolo (1).
4. Il piano straordinario di cui al comma 1 ricomprende anche interventi urgenti per il risanamento, il ripristino, il completamento, l'adeguamento, la ricostruzione e la riqualificazione del centro sportivo ex Delphinia di Caivano e per la realizzazione degli ulteriori interventi strumentali e connessi che interessino il centro sportivo ovvero pertinenze attigue. Per la realizzazione dei predetti interventi, il Commissario straordinario si avvale del supporto tecnico-operativo, ai sensi dell'articolo 10, commi 1 e 2, del decreto-legge 31 maggio 2021, n. 77, convertito, con modificazioni, dalla legge 29 luglio 2021, n. 108, della società Sport e Salute Spa, che svolge altresì le funzioni di centrale di committenza ai sensi dell'articolo 63 del codice di cui al decreto legislativo 31 marzo 2023, n. 36, con oneri posti a carico dello stanziamento previsto dal comma 1, come determinato nella delibera del Consiglio dei ministri, e comunque[,] nel limite massimo del due per cento delle risorse destinate con la citata delibera alla realizzazione degli interventi di cui al primo periodo del presente comma (1).
4-bis. Al fine di sostenere, nell'ambito del piano straordinario di cui al comma 1, interventi per la realizzazione o riqualificazione di infrastrutture culturali, l'autorizzazione di spesa di cui all'articolo 1, comma 337, della legge 28 dicembre 2015, n. 208, è incrementata di 12 milioni di euro per l'anno 2023(2).
4-ter. Agli oneri derivanti dall'attuazione del comma 4-bis, pari a 12 milioni di euro per l'anno 2023, si provvede mediante corrispondente riduzione dello stanziamento del fondo speciale di conto capitale iscritto, ai fini del bilancio triennale 2023-2025, nell'ambito del programma “Fondi di riserva e speciali” della missione “Fondi da ripartire” dello stato di previsione del Ministero dell'economia e delle finanze per l'anno 2023, allo scopo parzialmente utilizzando l'accantonamento relativo al Ministero della cultura. Il Ministro dell'economia e delle finanze è autorizzato ad apportare, con propri decreti, le occorrenti variazioni di bilancio(2).
5. Il Commissario straordinario prevede altresì criteri e modalità per l'affidamento in uso degli impianti del Centro sportivo ex Delphinia di Caivano di cui al comma 4, anche in deroga alle disposizioni vigenti, individuando come prioritari i progetti presentati dai Gruppi sportivi militari e dei corpi civili dello Stato (1).
6. Per le medesime finalità di cui al comma 1, il Ministero dell'università e della ricerca finanzia specifici progetti finalizzati alla costruzione o rigenerazione di edifici e spazi nell'area del Comune di Caivano da destinare ad attività educative e formative, realizzati dalle istituzioni universitarie che hanno sede nella regione Campania. Tali interventi, identificati dal Codice Unico di Progetto (CUP), vengono attuati in raccordo con il Commissario straordinario di cui al comma 1 e per la realizzazione degli stessi si applicano le disposizioni di cui al comma 2, primo periodo (1).
7. Alla copertura degli oneri di cui al comma 6 si provvede a valere sulle risorse del Fondo integrativo speciale per la ricerca (FISR) di cui all'articolo 1, comma 3, del decreto legislativo 5 giugno 1998, n. 204, per un importo pari a cinque milioni di euro per l'anno 2024.
7-bis. Una quota non inferiore a euro 100.000 per l'anno 2024 dell'autorizzazione di spesa di cui all'articolo 1, comma 676, della legge 29 dicembre 2022, n. 197, è destinata, con il decreto di cui al comma 677 del medesimo articolo 1 della legge n. 197 del 2022, al comune di Caivano per l'installazione di sistemi di videosorveglianza finalizzati ad assicurare la tutela della sicurezza dei cittadini, anche apportando le eventuali rimodulazioni delle risorse in via di assegnazione per progetti finanziati a valere sul Programma operativo complementare “Legalità” 2014-2020(2).
8. Al fine di garantire l'incremento della sicurezza urbana ed il controllo del territorio, il Comune di Caivano è autorizzato ad assumere a tempo indeterminato, mediante procedure concorsuali semplificate ai sensi dell'articolo 35-quater, comma 3-bis, del decreto legislativo 30 marzo 2001, n. 165, o mediante scorrimento di graduatorie vigenti di altre amministrazioni, comunque in deroga al previo espletamento delle procedure di cui agli articoli 30 e 34-bis del medesimo decreto legislativo n. 165 del 2001, 15 unità di personale non dirigenziale del corpo della polizia locale (1).
9. Le assunzioni di cui al comma 8 sono autorizzate in deroga ai vincoli assunzionali di cui all'articolo 1, comma 557, della legge 27 dicembre 2006, n. 296, nonché in deroga all'articolo 259, comma 6, del testo unico di cui al decreto legislativo 18 agosto 2000, n. 267 e all'articolo 33, comma 2, del decreto-legge 30 aprile 2019 n. 34, convertito, con modificazioni, dalla legge 28 giugno 2019, n. 58.
10. Agli oneri derivanti dai commi 8 e 9, pari a euro 138.900 per l'anno 2023 e pari ad euro 555.400 annui a decorrere dall'anno 2024, si provvede mediante corrispondente riduzione del fondo di cui all'articolo 1, comma 200, della legge 23 dicembre 2014, n. 190.
10-bis. Al fine di garantire l'attuazione degli obiettivi di inclusione sociale, il comune di Caivano è autorizzato ad assumere a tempo indeterminato, mediante procedure concorsuali semplificate ai sensi dell'articolo 35-quater, comma 3-bis, del decreto legislativo 30 marzo 2001, n. 165, o mediante scorrimento di graduatorie vigenti di altre amministrazioni, comunque in deroga al previo espletamento delle procedure di cui agli articoli 30 e 34-bis del medesimo decreto legislativo n. 165 del 2001, 3 unità di personale non dirigenziale della professionalità di servizio sociale(2).
10-ter. Al fine di facilitare l'inserimento degli studenti nelle scuole e contrastare la dispersione scolastica, il comune di Caivano è altresì autorizzato ad assumere, con le medesime procedure e deroghe di cui al comma 10-bis, 6 unità di personale non dirigenziale della professionalità degli educatori scolastici(2).
10-quater. Le assunzioni di cui ai commi 10-bis e 10-ter sono autorizzate in deroga ai vincoli assunzionali di cui all'articolo 1, comma 557, della legge 27 dicembre 2006, n. 296, nonché in deroga all'articolo 259, comma 6, del testo unico delle leggi sull'ordinamento degli enti locali, di cui al decreto legislativo 18 agosto 2000, n. 267. Ai concorsi per le assunzioni di cui ai predetti commi nonché a quelli di cui al comma 8 del presente articolo provvede il Dipartimento della funzione pubblica della Presidenza del Consiglio dei ministri tramite la Commissione RIPAM(2).
10-quinquies. Agli oneri derivanti dai commi 10bis e 10-ter, pari a euro 64.500 per l'anno 2023 e a euro 409.500 a decorrere dall'anno 2024, si provvede:
a) quanto a euro 64.500 per l'anno 2023, a euro 409.500 per l'anno 2024 e a euro 273.000 a decorrere dall'anno 2025, mediante corrispondente riduzione del Fondo di cui all'articolo 1, comma 200, della legge 23 dicembre 2014, n. 190;
b) quanto a euro 136.500 a decorrere dall'anno 2025, mediante corrispondente riduzione del fondo di cui all'articolo 1, comma 607, della legge 30 dicembre 2021, n. 234(2).
10-sexies. Il Ministro per la famiglia, la natalità e le pari opportunità, nell'ambito delle azioni predisposte con il Piano strategico nazionale contro la violenza nei confronti delle donne e la violenza domestica, di cui all'articolo 5 del decreto-legge 14 agosto 2013, n. 93, convertito, con modificazioni, dalla legge 15 ottobre 2013, n. 119, promuove il potenziamento della rete territoriale antiviolenza nel comune di Caivano, ferme restando le competenze della regione Campania, avvalendosi delle risorse già previste a legislazione vigente(2).
(1) Comma così modificato in sede di conversione dalla legge 159/2023 in vigore dal 15 novembre 2023.
(2) Comma aggiunto in sede di conversione dalla legge 159/2023 in vigore dal 15 novembre 2023.
KEYWORDS
01/12/2025 n° 63113
Area: Prassi, Circolari, Note
Ministero dell’istruzione e del merito
Ufficio Scolastico Regionale per la Lombardia
Direzione Generale
Via E. Caviglia, 11 – 20139 Milano - Codice Ipa: m_pi
Ai Dirigenti scolastici e ai Coordinatori delle
attività educative e didattiche di scuola
secondaria di primo e secondo grado
loro e-mail istituzionali
p.c. Ai Dirigenti UU.AA.TT. USR per la Lombardia
loro e-mail istituzionali
Ai Dirigenti Uffici I, II, V, XII USR per la
Lombardia
loro e-mail istituzionali
Oggetto: D.P.R. 8 agosto 2025, n. 134 - Regolamento concernente modifiche al decreto del Presidente della Repubblica 24 giugno 1998, n. 249, recante lo Statuto delle studentesse e degli studenti della scuola secondaria (GU n.223 del 25.9.2025) – chiarimenti e indicazioni.
Si fa seguito agli incontri informativi e formativi svoltisi il 16 e il 28 ottobre u.s. e, in considerazione dei vari quesiti posti all'attenzione di questo Ufficio, si ritiene opportuno fornire chiarimenti e indicazioni circa le modalità applicative del D.P.R. 8 agosto 2025, n. 134, che ha novellato lo Statuto delle studentesse e degli studenti della scuola secondaria, entrato in vigore dal 10 ottobre 2025.
In primo luogo, si rammenta che il D.P.R. 134 del 8 agosto 2025, in attuazione della L. 150 del 1° ottobre 2024, modifica solo in parte lo Statuto di cui al D.P.R. 249/98, peraltro già modificato con D.P.R. 235 del 21 novembre 200.
In particolare:
- resta immodificata la finalità dei provvedimenti disciplinari (art. 4, c. 2 inalterato) che resta ‘‘educativa’’, dovendo tendere al ‘‘rafforzamento del senso di responsabilità’’, al ‘‘ripristino di rapporti corretti all’interno delle comunità scolastica’’, al ‘‘recupero dello studente attraverso attività di natura sociale, culturale ed in generale a vantaggio della comunità scolastica’’;
- non mutano le caratteristiche delle sanzioni (art. 4, c. 5), che restano ‘‘temporanee, proporzionate alla infrazione disciplinare e ispirate al principio di gradualità’’ e ‘‘della riparazione del danno’’, oltre che obbligate a ‘‘tener conto della situazione personale dello studente, della gravità del comportamento e delle conseguenze che da esso derivano’’;
- non cambiano le procedure e il procedimento per l’irrogazione delle sanzioni, ma è da tenere conto che il riferimento all’offerta obbligatoria di ‘‘conversione in attività a favore della comunità scolastica’’, precedentemente previsto all’articolo 4 comma 5, è ora soppresso in quanto superfluo;
- permane che le sanzioni disciplinari possano essere irrogate soltanto previa verifica della sussistenza di elementi circostanziati e precisi dai quali si desuma che l'infrazione disciplinare sia stata effettivamente commessa da parte dello studente responsabile (art. 4, c. 9-ter);
- resta invariato che le sanzioni per le mancanze disciplinari commesse durante le sessioni d'esame debbano essere irrogate dalla Commissione di esame ed applicabili anche ai candidati esterni (art. 4, c. 11)
Si richiamano, in sintesi, le principali innovazioni normative, che includono la riformulazione delle misure disciplinari per renderle maggiormente riparative, e la centralità del voto di comportamento, su cui andranno ad incidere le infrazioni disciplinari.
Le modifiche sostanziali riguardano l’articolo 4 (DISCIPLINA) del DPR n. 249/1998.
▪ SANZIONI DISPIPLINARI
Si distingue tra "allontanamento dalle lezioni" fino a 15 giorni, di competenza del Consiglio di classe e "allontanamento dalla comunità scolastica" superiore a 15 giorni, di competenza del Consiglio d'istituto (art. 4, c. 6). Nello specifico:
- per allontanamenti dalle lezioni fino a due giorni, spetta al consiglio di classe in composizione allargata deliberare, con adeguata motivazione, attività di approfondimento sulle conseguenze dei comportamenti che hanno determinato il provvedimento disciplinare. Tali attività sono svolte presso l'istituzione scolastica. Le scuole, nell'ambito della loro autonomia, individuano i docenti incaricati di realizzare le attività sopra menzionate (art. 4, c. 8-bis);
- per allontanamenti dalle lezioni da tre a quindici giorni (art. 4, c. 8-ter), il consiglio di classe in composizione allargata delibera, con adeguata motivazione, attività di cittadinanza attiva e solidale, commisurate all'orario scolastico relativo al numero di giorni per i quali è deliberato l’allontanamento. Le suddette attività devono essere inserite all’interno del Piano triennale dell'offerta formativa (PTOF) e si svolgono presso le strutture ospitanti che la scuola individua sulla base di un elenco predisposto dall’Ufficio scolastico regionale. Il mancato o parziale svolgimento delle attività di cittadinanza attiva e solidale viene considerato dal Consiglio di classe ai fini dell'attribuzione del voto di comportamento. Le ore di attività di cittadinanza attiva e solidale sono computate nei tre quarti dell'orario annuale personalizzato richiesto ai fini della validità dell'anno scolastico, pur non influendo sulla valutazione degli apprendimenti delle singole discipline. Nei periodi di allontanamento non superiori a quindici giorni deve essere previsto un rapporto tra la comunità scolastica, lo studente e i suoi genitori tale da preparare il rientro nel gruppo classe (art. 4, c. 8); il consiglio di classe, con lo scopo di garantire la piena consapevolezza, da parte dello studente, dei comportamenti coerenti con i principi ispiratori della vita della comunità scolastica, può deliberare, ove necessario, la prosecuzione delle attività'
di cittadinanza attiva e solidale anche dopo il rientro nel gruppo classe, per un periodo massimo pari ai tre quarti dell'orario scolastico corrispondente ai giorni di allontanamento deliberato, e nel rispetto dei principi di temporaneità, proporzionalità e gradualità (art. 4, c. 8-quinquies);
- per allontanamenti dalla comunità scolastica superiori a quindici giorni, deliberati dal Consiglio di Istituto, la scuola promuove – in coordinamento con la famiglia e, ove necessario, anche con i servizi sociali e l’autorità giudiziaria – un percorso di recupero educativo mirato all'inclusione, alla responsabilizzazione e al reintegro, ove possibile, nella comunità scolastica (art. 4, c. 8-sexies). L'allontanamento dello studente dalla comunità scolastica superiore a quindici giorni può essere disposto anche quando siano stati commessi reati che violano la dignità e il rispetto della persona umana o vi sia pericolo per l'incolumità delle persone,
nonché in presenza di atti violenti o di aggressione nei confronti del personale scolastico, delle studentesse e degli studenti. In tale caso, la durata dell'allontanamento è commisurata alla gravità del reato ovvero al permanere della situazione di pericolo. Si applica, per quanto possibile, il disposto del comma 8 (art. 4, c. 9).
▪ ATTIVITÀ DI CITTADINANZA ATTIVA E SOLIDALE – MODALITÀ PROCEDURALI
In merito, è opportuno tener presente quanto segue:
- le attività di cittadinanza attiva e solidale, come sopra ribadito, devono essere svolte presso strutture esterne con le quali l'istituzione scolastica, nell'ambito della propria autonomia, stipula convenzioni, assicurando il raccordo e il coordinamento con le medesime (art. 4, c. 8-ter);
- le convenzioni disciplinano il percorso formativo personalizzato di attività di cittadinanza attiva e solidale, i tempi, le modalità, il contesto e i limiti del suo svolgimento presso le strutture ospitanti, nonché le rispettive figure di riferimento, tenendo anche conto che durante le attività di cittadinanza attiva e solidale, l'obbligo di vigilanza sulle studentesse e sugli studenti è in capo
alle strutture ospitanti, che comunicano tempestivamente alle istituzioni scolastiche eventuali assenze (art. 4, c. 8-ter);
- le strutture devono essere individuate dalle scuole esclusivamente tra quelle inserite nell’elenco su citato, che l’Ufficio scolastico regionale predispone a seguito di apposito avviso e con cui enti, associazioni e enti del Terzo settore possono manifestare la propria disponibilità ad accogliere lo studente nelle suddette attività di cittadinanza attiva e solidale. L’avviso pubblico specificherà i requisiti e i criteri definiti dal Ministero dell'istruzione e del merito (MIM), ad oggi ancora non resi noti, in base ai quali individuare le strutture accoglienti (art. 4, c. 8-ter);
- è compito dell’Ufficio scolastico regionale effettuare attività di verifica del mantenimento dei requisiti citati da parte delle strutture accoglienti accreditate, nonché procedere all’acquisizione di ulteriori manifestazioni di interesse pervenute, aggiornando annualmente gli elenchi di cui sopra (art. 4, c. 8-ter);
- in caso di indisponibilità delle strutture ospitanti, dovuta all’inidoneità delle stesse a causa dell'assenza dei requisiti individuati dal MIM, ovvero alla mancata presentazione di manifestazioni di interesse, le attività di cittadinanza attiva e solidale ivi contemplate, sono svolte a favore della comunità scolastica (art. 4, c. 8-quater);
- nelle more della definizione degli elenchi regionali delle strutture ospitanti, come sopra illustrato, le attività di cittadinanza attiva e solidale sono effettuate solo ed unicamente a favore della comunità scolastica (art. 6, c. 3-bis), dal momento che - dall’entrata in vigore delle nuove disposizioni normative - le predette strutture accoglienti devono possedere i requisiti e i relativi criteri individuati dal MIM.
Si fa presente, altresì, che per la realizzazione delle suddette attività di cittadinanza attiva e solidale, le istituzioni scolastiche, nell'ambito della loro autonomia, individuano le figure referenti per la realizzazione di tali attività, nell'ambito del personale scolastico, da remunerare a carico del Fondo per il Miglioramento dell'Offerta Formativa (art. 4, c. 8-ter).
▪ REGOLAMENTO DI DISCIPLINA D’ISTITUTO E PATTO DI CORRESPONSABILITÀ
Le istituzioni scolastiche, nell'ambito della loro autonomia, entro il termine di trenta giorni dalla data di entrata in vigore del D.P.R. n. 134/2025, ovvero entro lo scorso 10 novembre, sono state chiamate (art. 6, c. 1-bis) a adeguare il Regolamento di istituto alle previsioni di cui all'articolo 4, commi 8-bis, 8-ter, 8-quater, 8-quinquies e 8-sexies, sopra riportate, anche previa consultazione degli studenti di scuola secondaria superiore e dei genitori degli allievi di scuola secondaria di primo grado (art. 6, c. 1).
In ragione di quanto sopra, si è reso necessario intervenire per adeguare e integrare il Patto educativo di corresponsabilità. Nel dettaglio:
- nel Patto va incluso l'impegno dell'istituzione scolastica e delle famiglie a collaborare per consentire l'emersione di episodi riconducibili ai fenomeni del bullismo e del cyberbullismo, di situazioni di uso o abuso di alcool o di sostanze stupefacenti, nonché
di altre forme di dipendenza (art. 5, c. 1-bis);
- è necessario che le istituzioni scolastiche abbiano integrato il Patto, definendo in maniera dettagliata le attività formative e informative che intendono programmare a favore delle studentesse, degli studenti e delle loro famiglie, con particolare riferimento all'uso sicuro e consapevole della rete internet (art. 5, c. 1-ter);
- si ribadisce la necessità, da parte delle scuole, nell'ambito delle prime due settimane di inizio delle attività didattiche, di prevedere e realizzare iniziative idonee per le opportune attività di accoglienza dei nuovi studenti, per la presentazione e la condivisione dello statuto delle studentesse e degli studenti, del piano triennale dell'offerta formativa, dei regolamenti di istituto e
del patto educativo di corresponsabilità (art. 5, c. 3).
Si invita le istituzioni scolastiche a prestare la massima attenzione nell’applicazione delle novità normative riguardanti lo Statuto delle studentesse e degli studenti, in base a quanto sopra richiamato, soprattutto tenendo conto che, come più volte ribadito, al momento le attività di cittadinanza attiva e solidale possono essere svolte solamente a favore delle comunità scolastiche (cfr. art. 6, c. 3-bis).
Si confida nello scrupoloso rispetto, da parte di tutte le scuole, di quanto previsto dal nuovo quadro normativo e si porgono i più cordiali saluti.
IL DIRETTORE GENERALE
Luciana VOLTA
(Firmato digitalmente)
KEYWORDS
#studenti: azione disciplinare
10/11/2025 n° 85811
Area: Prassi, Circolari, Note
Ministero dell’istruzione e del merito
Dipartimento per le risorse, l’organizzazione e l’innovazione digitale
Agli Uffici Scolastici Regionali
LORO SEDI
Alle Istituzioni Scolastiche ed educative statali
LORO SEDI
E. p.c. All’ Ufficio di Gabinetto del Ministero dell’Istruzione e del Merito
SEDE
All’Ufficio di Gabinetto del Ministero del Turismo
SEDE
Al Dipartimento per il sistema educativo di istruzione e formazione
SEDE
Oggetto: Viaggi d’istruzione – Indicazioni operative Anno Scolastico 2025/2026 - chiarimenti
In data 24 settembre u.s., il Ministero dell’istruzione e del merito ha inviato alle Istituzioni scolastiche e educative statali e, p.c., agli Uffici Scolastici Regionali, la nota - prot. n. 7254, avente ad oggetto “Viaggi d’istruzione - Indicazioni operative Anno Scolastico 2025/2026”, con la quale sono state fornite utili informazioni e indicazioni operative in relazione ad alcune novità introdotte dal D. lgs. 36 del 2023, come integrato e corretto dal D.lgs. 31 dicembre 2024, n. 209 in materia di progettazione e affidamento delle procedure superiori alle soglie previste dall’articolo 62, comma 1, per gli appalti di servizi e forniture.
Sulla medesima questione, l’Autorità Nazionale Anticorruzione (ANAC), con nota del 7 ottobre u.s., ha fornito, su richiesta della Federazione Italiana Associazione Imprese Viaggi e Turismo (Fiavet), chiarimenti circa l’interpretazione dell’art 14, commi 1 e 6 del D.lgs. 36/2023, inerente alle “Soglie di rilevanza europea e metodi di calcolo dell'importo stimato degli appalti. Disciplina dei
contratti misti”, con riferimento agli appalti del turismo scolastico.
Tanto premesso, tenuto conto di quanto rappresentato da ANAC, si ritiene opportuno fornire alle Istituzioni Scolastiche ulteriori indicazioni operative, condivise con il Ministero del Turismo, finalizzate ad assicurare uniformità di comportamento e piena aderenza alla normativa recata dal nuovo Codice dei Contratti Pubblici, di cui al D.lgs. 36/2023, e successive integrazioni
introdotte dal D.lgs. 209/2024.
Si rammenta che, a partire dal 1° luglio 2023, è divenuto operativo l’obbligo di qualificazione delle stazioni appaltanti per lo svolgimento delle attività relative alla progettazione e all’affidamento degli appalti, qualora l’importo dell’intervento superi le soglie di cui all’art. 62, comma 1, del citato D.lgs. 36/2023, pari a € 140.000 per servizi e forniture e pari a € 500.000 per appalti di lavori.
Tale obbligo, come previsto dal D.lgs. 209/2024, è stato esteso, a decorrere dal 1° gennaio 2025, anche alla fase di esecuzione dei contratti pubblici.
Al riguardo, si rappresenta, anzitutto, che le Istituzioni scolastiche possono procedere - previa “decisione di contrarre” ai sensi dell’art. 17 del D.Lgs. 36/2023 - con affidamento diretto del servizio di organizzazione di viaggi di istruzione per importi inferiori alla soglia di 140 mila euro ai sensi dell’art. 50, comma 1, lett. b) del D.Lgs. 36/2023, ciò “anche senza consultazione di più operatori economici, assicurando che siano scelti soggetti in possesso di documentate esperienze pregresse idonee all’esecuzione
delle prestazioni contrattuali, anche individuati tra gli iscritti in elenchi o albi istituiti dalla stazione appaltante”.
In proposito, si rammenta che è buona prassi acquisire più preventivi in ossequio ai principi di concorrenza e trasparenza.
Inoltre, in considerazione della specificità delle istituzioni scolastiche, inquadrate nel parere dell’ANAC “come amministrazioni sub-centrali”, e della loro missione educativa, si evidenzia che l’art. 62, comma 6, del D.lgs. 36/2023, consente agli “enti non qualificati ai sensi del comma 2 dell’art. 63”, quali possono essere considerate le Istituzioni Scolastiche che non abbiano conseguito una qualificazione superiore, di procedere all’affidamento - mediante utilizzo degli strumenti telematici messi a disposizione da centrali di committenza qualificate - attraverso una procedura negoziata senza bando:
• di servizi e forniture, per importi tra i 140 mila euro e la soglia di rilevanza europea di cui all’art. 14, comma 1, lett. c), attualmente pari a 221 mila euro (in virtù della recente modifica delle soglie ad opera dei Regolamenti UE (1),
• di servizi sociali e assimilati, elencati nell’Allegato XIV della Direttiva 2014/24/UE, nel cui ambito rientrano i corsi di lingua organizzati dalle istituzioni scolastiche, per importi tra i 140 mila euro e la soglia di rilevanza europea di cui all’art. 14, comma
1, lett. d), pari a 750 mila euro.
Per le soglie superiori a 221 mila euro (per i viaggi di istruzione) e a 750 mila euro (per i soggiorni linguistici) si procede all’affidamento con gara aperta.
Si precisa, in definitiva, che le Istituzioni scolastiche, in quanto enti non qualificati, possono procedere in autonomia soltanto in relazione agli affidamenti diretti, mentre sono tenute ad avvalersi di una centrale di committenza qualificata per la gestione delle altre procedure sopra indicate.
Ciò chiarito, con riferimento alla connessa questione della possibilità di ricorrere - per l’affidamento del servizio di organizzazione di viaggi di istruzione - a procedure autonome distinte tra loro ovvero ad una gara unica articolata in lotti, l’ANAC ha precisato che la suddivisione in gare autonome è ammissibile - non integrando quindi un artificioso frazionamento - qualora “i servizi abbiano natura e finalità intrinsecamente diverse”, indicando al riguardo, a titolo esemplificativo, le seguenti distinte categorie di viaggi di istruzione: “corsi di lingua; viaggi con finalità culturali o strettamente connessi al percorso formativo; (…)”.
Ebbene, in coerenza con il richiamato parere dell’ANAC, appare opportuno chiarire ulteriormente che, non trattandosi di un elenco tassativo – oltre alle predette categorie – può configurarsi quale lotto funzionale autonomo ciascun viaggio d’istruzione “a carattere culturale” che presenti natura e finalità intrinsecamente diverse rispetto agli altri viaggi programmati dall’istituto scolastico.
Nell’ambito dei viaggi d’istruzione, possono essere ricompresi, tra i viaggi con “natura e finalità intrinsecamente diverse”, ad esempio, quelli finalizzati:
• all’attività didattica e educativa;
• quelli con finalità di orientamento, rientranti nei percorsi di formazione scuola-lavoro.
In considerazione della natura eterogena dei viaggi d’istruzione, resta, in ogni caso, rimessa lla discrezionalità delle istituzioni scolastiche, nell’ambito della propria autonomia organizzativa e gestionale, la facoltà di individuare ulteriori finalità, nel rispetto del D.lgs. n. 36/2023 e successive integrazioni introdotte dal D.lgs. 209/2024, che consentano l’indizione di procedure autonome e distinte, in luogo dell’accorpamento in un’unica procedura di gara suddivisa in lotti.
Si invita, pertanto, ciascuna Istituzione scolastica a: effettuare un’attenta ricognizione dei fabbisogni e dei relativi importi; valutare con accuratezza la natura e le finalità dei servizi da affidare;
operare, ove necessario, mediante le piattaforme telematiche delle centrali di committenza qualificate; documentare adeguatamente le scelte adottate in sede di programmazione e affidamento.
Si ribadisce, inoltre, che nella richiamata nota del 24 settembre u.s. cui si fa seguito è stato comunicato che gli Uffici Scolastici Regionali hanno provveduto a individuare le stazioni appaltanti qualificate alle quali le Istituzioni scolastiche, in caso di necessità, potranno rivolgersi e delegare lo svolgimento delle procedure di affidamento, nei limiti e secondo le modalità previste dalla
normativa vigente.
Infine, si segnala che, in data 29 settembre u.s., CONSIP Spa ha bandito una gara per fornire alle scuole un nuovo modello di procurement digitale, che consentirà, a partire dal 2026, di acquistare servizi “chiavi in mano” sopra soglia, direttamente da imprese qualificate, senza dover bandire gare autonome, con significativi risparmi di tempo e semplificazione delle procedure. Si rimanda al link www.consip.it/bandi/aq-viaggi-di-istruzione-id-2919 e ai “chiarimenti”, presenti all’interno della sezione “Documenti di gara”, per eventuali approfondimenti.
Con l’auspicio che le presenti indicazioni possano aiutare l’operato delle Istituzioni scolastiche in un’ottica di corretta applicazione delle norme e di valorizzazione dell’autonomia scolastica, il Ministero, attraverso i propri Uffici Scolastici Regionali, garantirà tutto il supporto necessario.
L’occasione è gradita per porgere cordiali saluti.
IL CAPO DIPARTIMENTO
Nando Minnella
(firmato digitalmente)
KEYWORDS
#appalti e contratti pubblici (in generale)#viaggi di istruzione
06/07/2023 n° 288
Area: Prassi, Circolari, Note
[doc. web n. 9920274]
Provvedimento del 6 luglio 2023
Registro dei provvedimenti
n. 288 del 6 luglio 2023
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore il prof. Pasquale Stanzione;
PREMESSO
1. La segnalazione.
L’Autorità ha ricevuto una segnalazione in ordine alla pubblicazione, sul sito web istituzionale dell’Istituto di Istruzione Superiore Statale "OMISSIS" di Sassuolo (MO) degli elenchi nominativi relativi alla composizione delle classi prime per l’anno scolastico 2022/2023.
2. L’attività istruttoria.
Con nota del XX, rispondendo alla richiesta di informazioni formulata dall’Autorità, il dirigente scolastico dell’Istituto, ha rappresentato, che:
- “La pubblicazione sul sito istituzionale (…), degli elenchi dei nominativi relativi alla composizione delle classi prime è avvenuta in seguito ad una insistente pressione delle famiglie volta a conoscere l’appartenenza della classe del proprio figlio/figlia. Questo istituto per riscontrare le esigenze rappresentate dalle famiglie si è attivato immediatamente”;
- “valga considerare l’elevato numero di nuclei famigliari in questione e la diversa struttura culturale/sociale degli stessi, tale da rendere in molti casi estremamente complesso il procedimento di attivazione del portale del registro elettronico”;
- “L’Istituto, posta la suddetta situazione e la palese carenza di organico, in forza in quel periodo lavorativo, non riusciva a predisporre l’invio di mail in modo celere; perciò intraprendeva una strada risolutiva che fosse la più veloce e la più efficiente per riscontrare le esigenze rappresentate dei propri iscritti”;
- “La pubblicazione sul sito è stata poi rimossa in tempi molto rapidi”;
- “L’Istituto si è da subito attivato per ovviare all’accaduto e rafforzare le procedure e la formazione utile a evitare che episodi simili si ripetano”.
Sulla base degli elementi acquisiti, l’Ufficio ha notificato, con nota del XX (prot. n. XX) all’Istituto, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, in quanto la pubblicazione sul sito istituzionale degli elenchi nominativi relativi alla composizione delle classi prime per l’anno scolastico 2022/2023 ha dato luogo a una “diffusione” di dati personali in assenza di un idoneo presupposto di liceità, in violazione degli artt. 5 e 6 del Regolamento e 2-ter e del Codice.
L’Ufficio ha invitato il predetto titolare a produrre scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).
L’Istituto ha fatto pervenire le proprie memorie difensive con nota del XX (prot. n. XX), ribadendo che:
- “A partire dal mese di luglio 2022, (la scuola aveva ricevuto) una moltitudine di solleciti e pressioni dalle famiglie dei nuovi iscritti che richiedevano di venire a conoscenza, nel più breve tempo possibile, dell'avvenuta iscrizione dei propri figli presso l'istituto e la conferma della classe/indirizzo scelto”;
- “l'istituto si trovava in una gravosa carenza di organico, (…) molte professionalità dell'Istituto (sia docenti che personale amministrativo) erano occupate nelle pratiche necessarie allo svolgimento degli esami di stato in corso”;
- L'utenza dell'istituto scolastico, (…) è medio/bassa, spesso poco strutturata sia dal punto di vista culturale che economico e perlopiù ubicata nei diversi comuni limitrofi e montani”;
- “in buona sostanza, la carenza di organico ha reso non attuabile, concretamente, l'attivazione del registro elettronico, che avrebbe necessitato che una o più risorse venissero adibite all'incombente”;
- "In quel frangente, la scuola ha ritenuto che, inserendo la composizione delle classi sul sito, in area riservata, le famiglie avrebbero potuto, in modo semplice ed immediato, senza fare appello a particolari competenze informatiche (…) spesso del tutto assenti, senza spostarsi da un luogo all'altro, (…) conoscere le informazioni richieste;
- “L'istituto scolastico in seguito alla segnalazione provvedeva immediatamente, il giorno stesso, a rimuovere i suddetti elenchi dal sito”;
- “Tutto il personale partecipa alla formazione privacy con regolarità ed efficienza, nonostante ciò, la Scrivente ha ritenuto di rafforzare la suddetta formazione e le procedure di controllo”.
Nel corso dell’audizione tenutasi in data XX l’Istituto scolastico ha dichiarato che:
- “il sito è strutturato in modo che i contenuti non sono immediatamente accessibili a tutti e non sono indicizzabili mediante ricerca effettuata tramite i comuni motori di ricerca”
- “i documenti non sono stati pubblicati in home page (…), sono stati pubblicati in una specifica sezione del sito web;
- tale “specifica sezione del sito web (…), se pur denominata (nelle memorie difensive) “area riservata”, non è accessibile soltanto mediante inserimento di specifiche credenziali di accesso” ma risulta liberamente accessibile;
- “i dati pubblicati sono solo il nome e cognome degli interessati e tale pubblicazione non ha arrecato danni ma al contrario le famiglie sono state agevolate. La procedura ha consentito alle stesse di avere conoscenza degli esiti della procedura di iscrizione agevolandole.”
3. Esito dell’attività istruttoria.
3.1 Normativa applicabile.
Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il “Regolamento”), definisce “dato personale”, “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”, “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, par. 1, n. 1, del Regolamento).
Il Regolamento prevede inoltre che il trattamento di dati personali effettuato in ambito pubblico è lecito quando è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, paragrafo 1, lett. c) ed e) e paragrafo 2 e 3 del Regolamento; art 2-ter del d.lgs. n. 196 del 30 giugno 2003 - Codice in materia di protezione dei dati personali, di seguito, il “Codice”).
La disciplina nazionale ha introdotto disposizioni più specifiche per adeguare l’applicazione delle norme del Regolamento, determinando, con maggiore precisione, requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (art. 6, par. 2 del Regolamento) e, in tale ambito, ha previsto che le operazioni di trattamento che consistono nella “diffusione” di dati personali (come la pubblicazione online) e nella “comunicazione” sono ammesse solo quando previste da una norma di legge o di regolamento o da atti amministrativi generali (art. 2-ter, commi 1 e 3, del Codice).
Il titolare del trattamento è, in ogni caso, tenuto a rispettare i principi generali in materia di protezione dei dati personali (art. 5 del Regolamento).
3.2 Il trattamento di dati personali effettuato dall’Istituto.
Come risulta dagli atti e dalle dichiarazioni rese dal titolare del trattamento nonché dall’accertamento compiuto sulla base degli elementi acquisiti a seguito dell’attività istruttoria e dalle successive valutazioni di questo Dipartimento, l’Istituto ha pubblicato sul sito web istituzionale, in una sezione liberamente accessibile, gli elenchi nominativi relativi alla composizione delle classi prime per l’anno scolastico 2022/2023.
In via preliminare si evidenzia che, affinché uno specifico trattamento di dati personali possa essere lecitamente effettuato da parte di un soggetto pubblico, tale trattamento deve essere necessario per l’adempimento di un obbligo legale da parte del titolare del trattamento o per l’esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri e deve trovare il proprio fondamento in una disposizione che abbia le caratteristiche di cui all’art. 2-ter del Codice.
In tale ambito l’amministrazione pubblica è tenuta a verificare, anche per i dati comuni, l’esistenza di una norma di legge o di regolamento che legittimi la pubblicazione dei dati personali degli interessati.
Al riguardo si rappresenta che l’Istituto scolastico non ha indicato alcuna specifica base giuridica idonea a legittimare la diffusione dei dati personali degli alunni interessati.
Risultano inoltre inidonee le motivazioni addotte dall’Ufficio Scolastico in base alle quali la pubblicazione dei predetti elenchi “è avvenuta in seguito ad una insistente pressione delle famiglie volta a conoscere l’appartenenza della classe del proprio figlio/figlia” ben potendo l’istituto perseguire tale eventuale obiettivo, conformemente alle disposizioni vigenti, con modalità meno invasive per il diritto alla riservatezza degli interessati.
Né può essere ritenuto sufficiente a giustificare la condotta dell’Istituto quanto asserito dall’Istituto in merito al fatto che l’elevato numero di nuclei famigliari in questione e la diversa struttura culturale/sociale degli stessi”, nonché “la carenza di organico” hanno reso “non attuabile, concretamente, l'attivazione del registro elettronico”:
Con specifico riferimento alla questione prospettata con la segnalazione, si evidenzia, inoltre, che il Garante, in collaborazione con il Ministero dell’Istruzione, è intervenuto con una specifica FAQ in merito alla questione relativa alla pubblicazione, sul sito internet degli istituti scolastici, di elenchi nominativi relativi alla composizione delle classi, fornendo specifiche indicazioni alle scuole in merito alle corrette modalità per assicurare la conoscibilità delle predette informazioni agli alunni e alle famiglie, nel rispetto della disciplina in materia di protezione dei dati personali (cfr. FAQ relative ai trattamenti dei dati personali nel contesto scolastico nel quadro dell’emergenza sanitaria, disponibili sul sito web dell’Autorità all’indirizzo www.gpdp.it doc. web n. 9337010, e, in particolare, FAQ n. 10, elaborata in collaborazione con il Ministero e disponibile anche in https://www.istruzione.it/rientriamoascuola/domandeerisposte.html, vedi anche il Vademecum La scuola a prova di privacy, edizione 2023, doc. web 9887111).
Con la predetta FAQ è stato chiarito che la diffusione dei dati relativi alla composizione delle classi sul sito web degli istituti scolastici non è consentita in quanto tale operazione di trattamento è lecita solo nei casi previsti dal richiamato art. 2-ter del Codice. “Pertanto, le istituzioni scolastiche che intendano garantire in via preventiva la conoscibilità di tali dati dovranno utilizzare modalità idonee ad assicurare la tutela dei dati personali e i diritti degli interessati. A tal fine i nominativi degli studenti distinti per classe potranno essere resi noti per le classi prime delle scuole di ogni ordine e grado, tramite apposita comunicazione all'indirizzo e-mail fornito dalla famiglia in fase di iscrizione all'a.s. (…), mentre per le classi successive, ove ritenuto necessario, l’elenco degli alunni potrà essere reso disponibile nell'area documentale riservata del registro elettronico a cui accedono tutti gli studenti della classe di riferimento. In caso di comunicazione tramite e-mail, dovrà essere prestata particolare attenzione a inviare la stessa a ciascun destinatario con un messaggio personalizzato oppure a inviarla utilizzando il campo denominato “copia conoscenza nascosta” (ccn) al fine di non divulgare gli indirizzi e-mail forniti dalle famiglie”.
Alla luce delle considerazioni che precedono, la pubblicazione sul sito web istituzionale della scuola degli elenchi nominativi relativi alla composizione delle classi prime per l’anno scolastico 2022/2023, ha di fatto reso conoscibili ad una pluralità indeterminata di soggetti, informazioni relative agli alunni compresi nell’elenco determinando in tal modo una “diffusione” illecita di dati personali, in violazione degli artt. 5 e 6 del Regolamento nonché dell’art. 2- ter del Codice (sul punto v. anche provv. n. 383 del 6 dicembre 2012, doc. web n. 2217211 e provv. n. 170 del 19 marzo 2015, doc. web n. 4000105).
4. Conclusioni.
Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Pertanto, si confermano le valutazioni preliminari dell'Ufficio, e si rileva l'illiceità del trattamento di dati personali effettuato dall’Istituto, in violazione degli artt. artt. 5 e 6 del Regolamento nonché dell’art. 2- ter del Codice.
Ciò premesso, tenuto conto che:
- Si tratta di un istituto scolastico statale di ridotte dimensioni;
- l’Istituto ha provveduto, in tempi brevi a rimuove il documento dal sito web;
- il trattamento non ha riguardo categorie particolari di dati personali (cfr. art. 9 del Regolamento);
- l’Istituto si è subito attivato per rafforzare le procedure di controllo e la formazione del proprio personale al fine di evitare che episodi simili a quello occorso si ripetano in futuro;
- il titolare del trattamento ha prestato ampia collaborazione all’Autorità nel corso dell’istruttoria;
- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.
Le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del cons. 148 del Regolamento e delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25 maggio 2018.
Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per avere violato gli artt. artt. 5 e 6 del Regolamento nonché dell’art. 2- ter del Codice.
Considerato che la condotta ha esaurito i suoi effetti, atteso che la pubblicazione dei dati personali relativi al reclamante è cessata, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante
TUTTO CIÒ PREMESSO IL GARANTE
- ai sensi dell’art. 57, par. 1, lett. f), dichiara illecita la condotta tenuta dall’Istituto di Istruzione Superiore "OMISSIS" di Sassuolo (MO) descritta nei termini di cui in motivazione, consistente nella violazione degli artt. 5 e 6 del Regolamento e 2-ter del Codice;
- ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce l’Istituto di Istruzione Superiore "OMISSIS" di Sassuolo (MO) quale titolare del trattamento in questione, per aver violato gli artt. 5 e 6 del Regolamento e 2-ter del Codice, come sopra descritto;
- ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 6 luglio 2023
IL PRESIDENTE
Stanzione
IL RELATORE
Stanzione
IL SEGRETARIO GENERALE
Mattei
KEYWORDS
#privacy e trattamento dei dati personali
27/11/2024 n° 731
Area: Prassi, Circolari, Note
[doc. web n. 10099098]
Provvedimento del 27 novembre 2024
Registro dei provvedimento n. 731 del 27 novembre 2024
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore il prof. Pasquale Stanzione;
PREMESSO
1. Il reclamo.
Con reclamo presentato all’Autorità il sig. XX e la sig.ra XX, per il tramite dei propri legali, hanno lamentato che la propria figlia, alunna del Liceo Classico Sperimentale Statale “OMISSIS” di Roma (di seguito “l’Istituto”), avrebbe ricevuto dalla scuola una sanzione disciplinare in relazione alla illecita occupazione dell’edificio scolastico, utilizzando “al fine di procedere disciplinarmente nei confronti della studentessa (…), 9 immagini” che ritrarrebbero la stessa all’interno dei locali scolastici, “scattate e pubblicate sul social network Instagram da sconosciuti”.
2. L’attività istruttoria.
Con nota del XX (prot. n. XX), rispondendo alla richiesta di informazioni formulata da questa Autorità, l’Istituto ha rappresentato, in particolare, che:
- “Il XX l’edificio scolastico ospitante il Liceo Classico Sperimentale Statale OMISSIS è stato occupato da alcuni studenti. La Dirigente Scolastica si attivava per identificare gli studenti occupanti riuscendo a riconoscerne alcuni tra 12 incolpati. Il procedimento di identificazione avveniva, per una parte, attraverso riconoscimento visivo da parte di docenti, come nel caso di XX figlia degli odierni ricorrenti, e collaboratori scolastici degli studenti rinserrati nell’edificio scolastico, quando si presentavano al cancello d’ingresso sbarrato con catena e lucchetto dagli stessi occupanti; dall’altro, attraverso l’esame di fotografie apparse sul social network Instagram con account “@occupazioneOMISSIS” azionato dagli studenti occupanti”;
- “Il XX l’assistente tecnico XX, avvertiva la Dirigente che un collaboratore scolastico, tale XX mostrava tramite il cellulare delle immagini relative all’occupazione della scuola, riportanti sia ambienti dell’edificio scolastico imbrattati da iscrizioni e figurazioni anche di carattere osceno nonché fotografie scattate a studenti da parte di altri compagni occupanti (…).Teneva a chiarire il collaboratore scolastico XX che il materiale fotografico sopra indicato lo aveva visto sui social network Instagram con account “@occupazioneOMISSIS” e collettivo_OMISSIS (…). Pertanto l’assistente tecnico XX inviava alla Dirigente Scolastica a mezzo di WhatsApp le immagini reperite dal collaboratore scolastico XX: tra queste vi era anche una fotografia che ritraeva XX in posizione sorridente insieme ad altri occupanti”;
- “la Dirigente Scolastica, stante la gravità dei fatti commessi nel corso dell’occupazione (…) riteneva opportuno informare il Presidente del Consiglio d’Istituto onde celebrasse procedimento disciplinare nei confronti degli occupanti identificati di fronte al Consiglio d’Istituto costituito in composizione disciplinare”;
- “Il Consiglio d’Istituto celebrava il procedimento disciplinare nei confronti di dodici studenti occupanti quali identificati, tra cui la studentessa XX accertandone la responsabilità. In riferimento alla posizione della XX, riteneva che nelle modalità di occupazione poste in essere, potesse riconoscersi un limitato apporto e pertanto le veniva irrogata una sanzione molto lieve (tre giorni di sospensione convertiti in tre giorni di lavori socialmente utili) nonché la sanzione al risarcimento dei danni pro quota in €. 406,66 (…)”;
- “Contro questa sanzione veniva proposto ricorso davanti all’Organo di Garanzia Interno dell’Istituto Scolastico da XX e XX, esercenti la responsabilità genitoriale sulla citata studentessa minorenne XX, che rigettava il ricorso. Tra i motivi di ricorso, il legale di XX inseriva anche quello relativo a una presunta illegittimità della modalità di riconoscimento della studentessa XX da parte dell’Istituzione scolastica in quanto, a suo dire, il trattamento dei dati personali non era avvenuto nel rispetto della normativa applicabile in materia di protezione dei dati personali, soprattutto in riferimento a una presunta illecita diffusione tra i genitori degli studenti coinvolti”;
- “Il ricorso veniva respinto e il legale della XX, riteneva di presentare ricorso in via cautelare dinanzi il Tribunale Amministrativo Regionale riproponendo le stesse doglianze che erano state avanzate dinanzi l’Organo di Garanzia Interno. Il Giudice Amministrativo emetteva ordinanza di rigetto di tutte le doglianze del ricorso, ivi compresa la doglianza riferendosi alla presunta illegittimità del trattamento dei dati personali, per mancanza del fumus boni iuris e del periculum in mora (…)”;
- “È opportuno, (…) far rilevare la grave inesattezza in cui cade il legale della XX nel reclamo al Garante: infatti parla di diffusione di nove fotografie ritraenti la XX, ma, al contrario, l’Istituzione Scolastica è venuta in possesso di una sola fotografia”;
- “prima dell’instaurazione del procedimento disciplinare avvenuta il XX, il Direttore Generale dell’Ufficio Scolastico Regionale per il Lazio, il XX, aveva inviato a tutti gli Istituti Scolastici della Regione Lazio una circolare (…), con la quale richiamava l’attenzione dei Dirigenti Scolastici (…) sulla illegittimità delle occupazioni studentesche in corso e (…) detta(va) disposizioni ben precise sulla necessità di identificare gli autori delle occupazioni onde addebitare loro i costi di eventuali danni. Da questo punto di vista emerge ancor più platealmente come il trattamento dei dati personali effettuato dalla Istituzione Scolastica, comunque sia, era da considerarsi lecito in quanto necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento”: così come stabilito dall’articolo 6 lett. c) del Regolamento (UE) 679/20162”;
- “Sul punto della presunta illecita attività di diffusione della immagine, deve dirsi che la Dirigente Scolastica non ha posto in essere nessuna attività di diffusione nelle modalità che vorrebbero fare intendere i ricorrenti. La Dirigente Scolastica, osservando rigorosamente i principi della minimalizzazione e della assoluta indispensabilità e necessarietà, ha formato un fascicolo disciplinare, in cui, obbligatoriamente, doveva inserire i nominativi degli incolpati con la specificazione degli elementi che avevano portato alla identificazione di costoro. Il fascicolo disciplinare è stato inviato unicamente all’Organo Disciplinare competente che era il Consiglio di Istituto in composizione disciplinare e all’Organo di Garanzia Interno: quindi non c’è stata la diffusione di dati personali immotivatamente e confusamente generalizzato e affastellato, soltanto e unicamente allo scopo di propagare all’esterno, tra gli altri, il comportamento dell’incolpata XX affinché fosse giudicato come non commendevole, come vorrebbero, in qualche modo, far sottintendere i ricorrenti. L’allegare al fascicolo disciplinare la fotografia di XX dalla stessa fatta postare sul social network Instagram con account “@occupazioneOMISSIS”, costituiva, ovviamente e necessariamente, l’unico modo, ovvio e necessario, per mettere il Consiglio d’Istituto in composizione disciplinare in grado di poter celebrare il procedimento disciplinare nei confronti di costei nella assoluta sicurezza che era stata identificata”;
- “Si dà il caso che da quanto esposto emerge come la Dirigente Scolastica doveva adempiere addirittura a diversi obblighi legali: innanzitutto dovevano essere identificati gli occupanti sia ai fini della celebrazione del procedimento disciplinare sia perché l’occupazione si era realizzata attraverso la commissione di vari reati tra cui l’interruzione del pubblico servizio (art. 340 del codice penale); la violenza privata (art.610 del codice penale) in quanto si era vietato al personale scolastico e agli studenti che lo desideravano di accedere all’istituto. Conseguentemente doveva essere presentata denuncia che indicasse i responsabili al VII Distretto di Polizia di Via Casalmonferrato: così come in effetti è avvenuto. A ciò si aggiungevano i reati che si riferivano ai danni riscontrati negli ambienti scolastici e ai furti di materiale didattico (computer e quant’altro) come dichiarato nelle due denuce rilasciate al VII distretto di Polizia in data XX e XX. Da qui l’ulteriore obbligo legale di procedere all’instaurazione del procedimento disciplinare e quindi preliminarmente identificare gli autori dei danni e dei furti sopra citati. Accanto a questo obbligo legale si aggiungeva l’ulteriore obbligo legale, imposto dalle disposizioni impartite dal Direttore Generale dell’Ufficio Scolastico Regionale per il Lazio, che richiedeva imperativamente di identificare gli autori dei danni arrecati nel corso della occupazione ai fini della richiesta dei dovuti risarcimenti dei danni”.
Sulla base degli elementi acquisiti l’Ufficio ha notificato all’Istituto scolastico, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, avendo l’Istituto trattato i dati personali di taluni studenti, presenti sul social network Instagram all’account “@occupazioneOMISSIS”, (in particolare immagini dei soggetti presenti a scuola nel corso dell’occupazione), in maniera non conforme ai principi di “liceità, correttezza e trasparenza”, e “limitazione della finalità” in violazione dell’art. 5, paragrafo 1, lett. a) e b) del Regolamento e in assenza di un idoneo presupposto normativo, in violazione degli artt. 6 del Regolamento e 2-ter del Codice.
L’Ufficio ha invitato il predetto titolare a produrre scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).
L’Istituto ha fatto pervenire le proprie memorie difensive con nota del XX rappresentando, in particolare, che:
- “questa Istituzione Scolastica aveva già risposto ad altro invito di questa Autorità, nella certezza di essere stata esaustiva nel dimostrare come nel corso di una occupazione dell’edificio scolastico avvenuta il XX e terminata il XX, agendo nel pieno rispetto della legalità, aveva provveduto a identificare parte degli studenti occupanti, sia attraverso la identificazione pervenuta da parte di alcuni docenti sia attraverso la visione di alcune immagini comparse su un social network Instagram creato appositamente dagli occupanti e simpatizzanti onde informare sul procedere dell’occupazione”;
- “tra gli studenti identificati tramite le immagini comparse sul citato social network vi era quella della studentessa XX, pertanto, nei suoi confronti si apriva procedimento disciplinare unitamente ad altri undici studenti solidali”;
- “l’Autorità afferma testualmente nella contestazione del XX che: l’identificazione di tali soggetti avrebbe potuto essere effettuata con modalità maggiormente rispettose della disciplina in materia di protezione dei dati personali ad esempio come rappresentato da codesto Istituto, (…) mediante riconoscimento visivo da parte dei docenti (…) degli studenti rinserrati nell’edificio scolastico”.
- “orbene la Istituzione Scolastica ha esaurientemente provato (è sufficiente consultare la relazione prodotta dalla Dirigente Scolastica (…) per verificare come scrupolosamente la Dirigente Scolastica ha voluto specificare caso per caso se l’identificazione fosse avvenuta tramite visione delle immagini comparse sul social network o attraverso comunicazione di docente) che laddove era possibile, è ovvio, che si era proceduto attraverso la identificazione visiva diretta da parte di docente”;
- “è opportuno mettere in rilievo come la Dirigente Scolastica abbia precisato nella prima risposta inviata a questa Autorità il XX prot. n. XX che nel caso di specie gli studenti occupanti erano rinserrati: il che vale a significare che gli studenti occupanti avevano chiuso i cancelli vietando l’ingresso e quando si avvicinavano ai predetti cancelli perché dovevano essere interpellati dalle forze dell’ordine o da personale scolastico, lo facevano o a volto scoperto o incappucciati”;
- “infatti, a mente di quanto disposto dall’art. 2 ter Codice della privacy non può dubitarsi che la Dirigente Scolastica abbia dovuto trattare i dati secondo l’obbligo di adempimenti di compiti da svolgere nel pubblico interesse o per l'esercizio di pubblici poteri ad essa attribuiti”. Ed è opportuno, anche, evidenziare e ricordare che la Dirigente Scolastica stava agendo anche per salvaguardare la tutela personale degli occupanti, in quanto, ovviamente, durante l’occupazione si erano verificati eccessi e modalità di comportamento che potevano essere pericolosi per la integrità fisica degli occupanti stessi”;
- “più oltre si richiamerà l’attenzione della Autorità a visionare ben trenta fotografie, scattate dopo che l’edificio scolastico è stato riconsegnato dalle forze dell’ordine (…) alla Dirigente Scolastica, per rendersi conto di ciò che era accaduto durante la cosiddetta occupazione e di come gli atti di vandalismo compiuti dagli occupanti abbiano ridotto gli ambienti scolastici”;
- “Quindi, risulta obiettivamente che la Istituzione Scolastica è stata costretta a trattare dati personali e ciò è stato operato, lo si ripete ancora una volta, per l'adempimento di un compito svolto nel pubblico interesse e/o per l'esercizio di pubblici poteri ad essa attribuiti”;
- “la Dirigente Scolastica trasmetteva gli esiti al Presidente del Consiglio di Istituto in composizione disciplinare affinché si valutasse se alla luce della documentazione trasmessa si dovessero notificare agli studenti identificati idoneo capo d’incolpazione e la comunicazione della data di audizione dinanzi al Consiglio di Istituto in composizione disciplinare (…) la Istituzione Scolastica ha trattato i dati di cui era venuta in possesso in modo lecito, corretto e trasparente nei confronti degli interessati come si evince anche in premessa dal verbale del Consiglio di Istituto in composizione disciplinare ove è riportato “Il presente verbale costituisce atto interno ed unitario del Consiglio di Istituto in funzione disciplinare, non potrà essere pubblicato né diffuso in alcun modo; potrà essere visionato solo dagli aventi diritto, ai sensi di legge, previa richiesta di accesso agli atti. Chi ne estrae copia e ne fa un uso non consentito dalla legge si assume la responsabilità della custodia dei dati e delle informazioni in esso contenute”;
- “non c’è stata “diffusione” dei dati personali di cui si era venuti a conoscenza bensì la dovuta “comunicazione” unicamente al Presidente del Consiglio di Istituto in composizione disciplinare per gli adempimenti di carattere disciplinare”;
- “questi dati sono stati inseriti nel fascicolo disciplinare contenente, altresì, i fascicoletti personali di ogni studente sottoposto a procedimento disciplinare. Poiché il fascicolo disciplinare è protetto dal protocollo riservato soltanto gli studenti sottoposti a procedimento disciplinare e gli esercenti la responsabilità genitoriale sono venuti a conoscenza di ciò che è avvenuto: conseguentemente, poiché alcuni degli studenti interessati (compresa la studentessa XX) terminano il loro percorso di studio quest’anno con l’esame di Stato, i dati personali di ognuno, secondo la normativa sulla conservazione dei dati in archivio, verranno distrutti perché la conservazione non più necessaria”;
- “nel caso di specie non vi è stata alcuna “diffusione” dei dati personali di cui si è venuti a conoscenza, bensì, come sopra accennato, unicamente la dovuta “comunicazione” al Presidente del Consiglio di Istituto in composizione disciplinare per gli adempimenti di carattere disciplinare. Il che vale a significare che la Istituzione Scolastica, com’era suo dovere, oltretutto trattandosi di procedimento disciplinare, ha minimizzato il più possibile la esternazione, seppur limitata, dei dati personali di cui era in possesso”;
- “gli esercenti la responsabilità genitoriale non possono assolutamente lamentarsi che del contenuto della comunicazione del procedimento disciplinare a carico della figlia XX, siano venuti a conoscenza altri esercenti la responsabilità genitoriale sugli studenti sottoposti a procedimento disciplinare, in quanto il fascicolo disciplinare comprendeva necessariamente tutti coloro che erano stati identificati da considerarsi sodali tra di loro in quanto oltretutto, in concorso, stavano commettendo reati gravissimi dall’interruzione del pubblico servizio alla violenza privata non permettendo al personale scolastico e agli studenti di frequentare l’Istituto scolastico”;
- “oltre tutto costoro si conoscevano tutti: è sufficiente osservare nella immagine, di cui è venuta in possesso la Istituzione Scolastica, il viso irridente e soddisfatto della studentessa XX all’interno dell’edificio scolastico. Ovviamente la fotografia è stata inviata al social network Instagram creato appositamente per l’occupazione perché venisse diffusa”;
- “ma vi è un’ultima notazione di cui è opportuno che l’Autorità venga conoscenza riguardante la studentessa XX. Come chiarito nelle prime informazioni inviate alla Autorità e riportata integralmente nella contestazione di addebito, (…) la studentessa non ha mai contestato la circostanza di un presunto illecito utilizzo del dato personale di immagine: ha costantemente affermato la estraneità ai fatti per altri motivi non sollevando alcuna eccezione in riferimento all’uso del dato personale. Sono unicamente gli esercenti la responsabilità genitoriale che hanno contestato la sanzione disciplinare irrogata alla figlia dal Consiglio di Istituto in composizione disciplinare, dinanzi l’Organo di Garanzia Interno sia nel merito che sotto l’aspetto del presunto uso illegittimo dei dati personali della figlia XX: ricorso che veniva respinto”;
- “in secondo luogo addirittura con ricorso in via cautelare davanti al TAR , insistendo su due profili della presunta estraneità ai fatti della studentessa e della illegittimità dell’acquisizione dei dati personali anche il TAR respingeva il ricorso per carenza degli essenziali requisiti del fumus boni juris (riconoscendo come il ricorso fosse infondato sia sotto l’aspetto dell’estraneità ai fatti della studentessa XX che il riferimento al presunto illecito trattamento dei dati della studentessa XX) e del periculum in mora”;
- “non si è trattata di una “occupazione” di scarso rilievo, bensì di una “occupazione”, preparata con molta attenzione e, oltre tutto, organizzata anche con il concorso di studenti esterni al Liceo è particolarmente versati in questa forma di violenza”;
- “è, altresì opportuno che l’Autorità osservi, con attenzione, le trenta fotografie scattate dopo la riconsegna degli ambienti scolastici al termine dell’occupazione da cui si evince quale sia lo stato di degrado in cui versa ancora l’Istituto Scolastico a causa degli atti vandalici compiuti dagli occupanti”;
- “un’ultimissima osservazione sulla studentessa XX. Costei ha riconosciuto di essersi introdotta abusivamente all’interno dell’Istituto scolastico e non ha mai sollevato eccezioni di sorta sull’utilizzo del suo dato personale di immagine (leggasi sia la deposizione della XX resa dinanzi il Consiglio di Istituto in composizione disciplinare sia la memoria difensiva inviata da costei): questo comportamento ha indotto il Consiglio di Istituto in composizione disciplinare a irrogare una blandissima sanzione disciplinare che addirittura è stata sostituita con un’attività alternativa”.
Nel corso dell’audizione, tenutasi in data XX, l’Istituto ha dichiarato che “Ad integrazione di quanto già in atti, si precisa che i ragazzi hanno dichiarato “stasera non postiamo più nulla” su Instagram (dall’account: occupazione OMISSIS- documento XX) per non arrecare danno ai compagni di scuola occupanti di cui è stata fatta anche menzione fotografica. Lo scopo della pagina è sempre stato quello di rendere l’occupazione più memorabile tramite semplici momenti. I ragazzi dichiarano “scriveteci se volete se cancelliamo la pagina o lasciamo così”. Questi documenti sono stati ricevuti dall’Istituto dai genitori o dal personale della scuola. La studentessa XX è stata ritratta varie volte anche dai compagni, veniva fotografata e le foto venivano pubblicate su Instagram. Anche nelle proprie memorie difensive (in merito all’occupazione) la ragazza non ha fatto menzione di alcuna violazione in materia di protezione dei dati personali rispetto all’utilizzo delle fotografie, perché era consapevole di essere stata ritratta e di aver dato l’autorizzazione a postare le foto, con la certezza che le foto venissero pubblicate. Questa studentessa aveva il libero accesso a scuola perché glielo consentivano le colleghe occupanti. La ragazza ha commesso diversi illeciti (violenza privata, interruzione pubblico servizio etc.). Il procedimento è stato avviato dal Consiglio d’Istituto in composizione disciplinare. Non vi è stata diffusione impropria perché vi è stato il riconoscimento, da parte del personale scolastico e dai genitori, di alcuni studenti partecipanti all’occupazione. Nel verbale del XX della questura di Roma un docente dichiara di riconoscere un suo studente mascherato, senza alcuna foto (…). Anche l’interessata è stata riconosciuta, attraverso le foto postate su Instagram, dalla sua docente. La stessa alunna ha ammesso di aver partecipato all’occupazione nelle memorie difensive. Nel documento del XX (…) è stata dichiarata, in sintesi, l’assoluta riservatezza dello stesso, proprio per garantire la privacy degli studenti. Da dirigente mi sono recata al Commissariato per adempiere ai miei doveri legali e non avrei potuto fare diversamente. Successivamente il Consiglio di Istituto ha ravvisato esserci i presupposti per produrre atto d’incolpazione, che discende dalla documentazione da me prodotta per obbligo. Ho contattato tutti i genitori degli studenti riconosciuti affinché i ragazzi riconsegnassero la scuola libera (…). Nella risposta del XX ci sono diverse fotografie degli ambienti scolastici deturpati, dove i ragazzi si sono fatti ritrarre. Anche il TAR non ha coltivato il ricorso promosso dai ricorrenti sullo stesso aspetto sollevato dall’Autorità con ordinanza (presunto trattamento illecito dei dati della studentessa -pag. 4 relazione XX). Lo stesso Ufficio scolastico regionale per il Lazio imponeva alla dirigente di riconoscere gli studenti ai fini del risarcimento dei danni (…). L’utilizzo dei dati personali è stato limitato agli interessati, non è stato esteso a terzi soggetti. Le sanzioni sono state comunicate singolarmente e altresì singolarmente sono state effettuate le audizioni”.
3. Esito dell’attività istruttoria.
3.1 La normativa applicabile.
Ai sensi del Regolamento il trattamento di dati personali effettuato in ambito pubblico è lecito quando è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, paragrafo 1, lett. c) ed e) e paragrafo 2 e 3 del Regolamento; art. 2-ter del Codice).
Più in generale, la normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (…)” (art. 6, paragrafo 2 del Regolamento).
La disciplina nazionale ha introdotto disposizioni più specifiche per adeguare l’applicazione delle norme del Regolamento, determinando, con maggiore precisione, requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (art. 6, par. 2 del Regolamento) e, in tale ambito, ha previsto che le operazioni di trattamento di dati personali sono ammesse solo quando previste da una norma di legge o di regolamento o da atti amministrativi generali (art. 2-ter, commi 1 e 3, del Codice).
3.2 Il trattamento di dati personali effettuato dall’Istituto.
Dall’accertamento compiuto sulla base degli elementi acquisiti a seguito dell’attività istruttoria e dalle successive valutazioni di questo Dipartimento, nonché sulla base delle dichiarazioni effettuate dall’Istituto nel corso dell’istruttoria, della cui veridicità il titolare risponde ai sensi 168 del Codice, risulta che l’Istituto ha posto in essere i trattamenti dei dati personali in esame “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito” (art. 6, paragrafo 1, lett. e) e paragrafi 2 e 3 del Regolamento).
Sulla base della documentazione in atti, e come confermato dall’Istituto, risulta di aver avviato, in relazione ai fatti commessi nel corso dell’occupazione, un procedimento disciplinare nei confronti della figlia dei reclamanti, e di altri studenti, sulla base non solo dell’esame di fotografie pubblicate sul social network Instagram con account “@occupazioneOMISSIS” dagli stessi studenti occupanti, ma anche ad opera del riconoscimento de visu da parte di alcuni docenti.
La Dirigente Scolastica, considerata la “gravità dei fatti commessi nel corso dell’occupazione”, era tenuta a informare il Consiglio d’Istituto che ha avviato il procedimento disciplinare nei confronti degli studenti occupanti, tra cui la figlia dei reclamanti, previa identificazione.
Inoltre, il Direttore Generale dell’Ufficio Scolastico Regionale per il Lazio, aveva inviato a tutti gli Istituti Scolastici della Regione Lazio una circolare che dettava disposizioni precise sulla necessità di identificare gli autori delle occupazioni al fine di addebitare loro i costi di eventuali danni.
Ai fini della valutazione complessiva del trattamento in esame si ritiene rilevante, altresì, il fatto che l’istituto scolastico non ha compiuto alcuna “diffusione di dati personali in modo illegittimo” considerato che “giornalmente avveniva la diffusione di immagini e notizie” sul social network Instagram da parte degli stessi alunni e che l’Istituto ha trattato l’immagine al solo fine di confermare l’identificazione della studentessa già avvenuta ad opera di un docente, e predisporre il fascicolo personale destinato al Consiglio d’Istituto senza ulteriore trattamento o conservazione oltre il termine strettamente necessario.
4. Conclusioni.
Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano sufficienti a consentire l’archiviazione del presente procedimento in quanto non sono ravvisati, allo stato degli atti, gli estremi di una violazione della disciplina rilevante in materia di protezione dei dati personali (artt. 11, lett. b) e 14 del Regolamento del Garante n. 1/2019).
TUTTO CIÒ PREMESSO IL GARANTE
ai sensi dell’art. 57, par. 1, lett. f), dichiara lecita la condotta tenuta dal Liceo Classico Sperimentale Statale “OMISSIS” con sede in Via OMISSIS – 00182 Roma, C.F. OMISSIS nei termini di cui in motivazione e dispone l’archiviazione.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 27 novembre 2024
IL PRESIDENTE Stanzione
IL RELATORE Stanzione
IL SEGRETARIO GENERALE Mattei
KEYWORDS
#privacy e trattamento dei dati personali#studenti: azione disciplinare
27/10/2017
Area: Prassi, Circolari, Note
MINISTERO DELL'ISTRUZIONE, DELL'UNIVERSITA' E DELLA RICERCA
Dipartimento per il sistema educativo di istruzione e di formazione
Direzione Generale per lo Studente, l’Integrazione e la Partecipazione
Aggiornamento
LINEE DI ORIENTAMENTO
per la prevenzione e il contrasto del cyberbullismo
Ottobre 2017
Indice
Premessa
1. Interventi per la prevenzione e il contrasto del fenomeno
1.1 L’iniziativa Generazioni connesse e altri strumenti utili per un uso corretto e consapevole delle tecnologie digitali
2. Modalità di segnalazione di situazioni e/o comportamenti a rischio
3. Governance: una nuova organizzazione
3.1 Azioni mirate delle scuole rivolte agli studenti e alle loro famiglie: il ruolo del Dirigente scolastico e del docente referente
4. Nuovi strumenti introdotti dalla L. 71/2017: l’ammonimento
Premessa
Il presente testo ha lo scopo di dare continuità alle Linee di orientamento emanate nell’aprile del 2015, apportando le integrazioni e le modifiche necessarie in linea con i recenti interventi normativi1, con particolare riferimento alle innovazioni introdotte con l’emanazione della L. 71/2017: “Disposizioni a tutela dei minori per la prevenzione e il contrasto del fenomeno del cyberbullismo”. Lo stesso è, quindi, da intendersi quale strumento flessibile e suscettibile di periodici aggiornamenti2, tale da rispondere alle sfide educative e pedagogiche derivanti dall’evolversi costante e veloce delle nuove tecnologie.
La Legge 71/2017 si presenta con un approccio inclusivo e invita diversi soggetti a sviluppare una progettualità volta alla prevenzione e al contrasto del cyberbullismo, secondo una prospettiva di intervento educativo e mai punitivo, prevedendo all’art.3 l’istituzione di un Tavolo di lavoro, presso la Presidenza del Consiglio dei Ministri, coordinato dal MIUR, con il compito di redigere un piano di azione integrato e realizzare un sistema di raccolta di dati per il monitoraggio, avvalendosi anche della collaborazione della Polizia Postale e delle Comunicazioni e delle altre Forze di polizia.
Tale piano sarà integrato con un codice di co-regolamentazione per la prevenzione e il contrasto del cyberbullismo a cui dovranno attenersi gli operatori che forniscono servizi di social networking e tutti gli altri operatori della rete Internet; con il predetto codice sarà istituito un comitato di monitoraggio con il compito di definire gli standard per l'istanza di oscuramento di cui all'articolo 2, comma 1, della Legge 71/2017.
Il Piano dovrà stabilire, altresì, le iniziative di informazione e di prevenzione del cyberbullismo con il coinvolgimento dei servizi socio-educativi territoriali, in sinergia con le scuole, anche attraverso periodiche campagne informative, di prevenzione e di sensibilizzazione avvalendosi dei media, degli organi di comunicazione, di stampa e di enti privati.
Il dettato normativo attribuisce, quindi, a una pluralità di soggetti compiti e responsabilità ben precisi, ribadendo il ruolo centrale della Scuola che è chiamata a realizzare azioni in un’ottica di governance diretta dal MIUR che includano “la formazione del personale, la partecipazione di un proprio referente per ogni autonomia scolastica, la promozione di un ruolo attivo degli studenti, nonché di ex studenti che abbiano già operato all’interno dell’istituto scolastico in attività di peer education, la previsione di misure di sostegno e di rieducazione dei minori coinvolti”.3 Sentito il Dipartimento per la Giustizia Minorile e di Comunità (DGMC), il MIUR adotta le presenti linee di orientamento per la prevenzione ed il contrasto del cyberbullismo nelle scuole.
Centrale risulta la figura del docente referente che la scuola individua preferibilmente tra i docenti che posseggano competenze specifiche ed abbiano manifestato l’interesse ad avviare un percorso di formazione specifico.
Il referente diventa, così, l’interfaccia con le forze di Polizia, con i servizi minorili dell’amministrazione della Giustizia, le associazioni e i centri di aggregazione giovanile sul territorio, per il coordinamento delle iniziative di prevenzione e contrasto del cyberbullismo.
Nelle more, quindi, della costituzione e dell’operatività del Tavolo inter-istituzionale presso la Presidenza del Consiglio dei Ministri, le presenti linee di orientamento rappresentano un primo strumento che potrà essere utile a orientare le azioni che le scuole vorranno autonomamente intraprendere, e che saranno successivamente integrate in un complessivo Piano di Azione nazionale.
1. Interventi per la prevenzione e contrasto del fenomeno del cyberbullismo.
La Legge 107 del 20154 ha introdotto, tra gli obiettivi formativi prioritari, lo sviluppo delle competenze digitali degli studenti, finalizzato anche a un utilizzo critico e consapevole dei social network e dei media, e declinato dal Piano Nazionale Scuola Digitale.5
Le studentesse e gli studenti devono essere sensibilizzati ad un uso responsabile della Rete e resi capaci di gestire le relazioni digitali in agorà non protette. Ed è per questo che diventa indispensabile la maturazione della consapevolezza che Internet può diventare, se non usata in maniera opportuna, una pericolosa forma di dipendenza. Compito della Scuola è anche quello di favorire l’acquisizione delle competenze necessarie all’esercizio di una cittadinanza digitale consapevole. Responsabilizzare le alunne e gli alunni significa, quindi, mettere in atto interventi formativi, informativi e partecipativi. Tale principio è alla base dello Statuto delle studentesse e degli studenti6 che sottolinea la finalità educativa anche quando si rendano necessari provvedimenti disciplinari, comunque tesi a rispristinare comportamenti corretti all’interno dell’istituto “attraverso attività di natura sociale e culturale ed in generale a vantaggio della comunità scolastica”.
Nel corso degli ultimi anni, inoltre, il MIUR ha siglato Protocolli di Intesa e avviato collaborazioni con le più importanti Istituzioni e Associazioni che, a vario titolo, si occupano di prevenzione e contrasto del bullismo e cyberbullismo al fine di creare un’alleanza e una convergenza di strumenti e risorse atti a rispondere alla crescente richiesta di aiuto da parte delle istituzioni scolastiche e delle famiglie7.
1.1. L’iniziativa Generazioni connesse e altri strumenti utili per un uso corretto e consapevole delle tecnologie digitali.
Per promuovere strategie finalizzate a rendere Internet un luogo più sicuro per gli utenti più giovani, favorendone un uso positivo e consapevole, il MIUR ha avviato l’iniziativa “Generazioni Connesse”, sostenuta dalla Commissione Europea8, con lo scopo di fornire alle istituzioni scolastiche una serie di strumenti didattici, di immediato utilizzo, tra cui:
- attività di formazione (online e in presenza) rivolte in maniera specifica alle comunità scolastiche (insegnanti, bambini/e, ragazzi/e, genitori, educatori) che intraprenderanno un percorso dedicato;
- attività di informazione e sensibilizzazione realizzate in collaborazione con la Polizia di Stato per approfondire i temi della navigazione sicura in Rete.
Le scuole che intendano partecipare all’iniziativa possono collegarsi all’indirizzo www.generazioniconnesse.it e seguire le istruzioni riportate per effettuare l’iscrizione al progetto.
Attraverso un iter guidato e materiali specifici di lavoro, le scuole iscritte a Generazioni connesse, intraprendono un percorso per far emergere i punti di forza e di debolezza dell’istituto stesso, sulle tematiche connesse al Progetto, mediante la compilazione di un questionario di autovalutazione disponibile sul sito www.generazioniconnesse.it. Il questionario è uno strumento che consente all’istituto di identificare i propri bisogni, le aree di miglioramento e le azioni da intraprendere per giungere all’elaborazione di un progetto personalizzato denominato “Piano d’azione”.
Tale Piano9 consentirà alle istituzioni scolastiche di focalizzare il proprio Piano Triennale dell’Offerta Formativa al fine di definire:
- il proprio approccio alle tematiche legate alle competenze digitali, alla sicurezza online e ad un uso positivo delle tecnologie digitali nella didattica;
- le norme comportamentali e le procedure per l’utilizzo delle tecnologie dell'informazione e della comunicazione (ICT) in ambiente scolastico;
- le misure per la prevenzione;
- le misure per la rilevazione e gestione delle problematiche connesse a un uso non consapevole delle tecnologie digitali;
Il percorso è rivolto alle classi quarta e quinta della scuola primaria e a tutte le classi della scuola secondaria di primo grado.
Per la realizzazione del “Piano d’azione”, l’istituto scolastico è affiancato da un servizio di “supporto scuole” (supportoscuole@generazioniconnesse.it) e da personale qualificato del Safer Internet Centre italiano.
Un ulteriore strumento per contrastare comportamenti dannosi online e allo stesso tempo accrescere la conoscenza del fenomeno è “iGloss@ 1.110, l’Abc dei comportamenti devianti online”, elaborato dal Dipartimento per la Giustizia Minorile e di Comunità.
Il glossario, nella ricognizione dei termini specialistici sui comportamenti online a rischio, offre una sintetica spiegazione delle principali caratteristiche delle condotte devianti e dei risvolti socio-giuridici.
L’obiettivo non è esclusivamente descrivere e inquadrare i nuovi fenomeni della devianza online, ma favorire, altresì, l’acquisizione di consapevolezza sulle conseguenze sociali e giudiziarie di queste specifiche trasgressioni.
Il glossario, disponibile online in lingua italiana e inglese sul sito del Ministero della Giustizia (www.giustizia.it), è rivolto a operatori dei servizi sociali, sanitari, giudiziari, giovani e loro genitori.
2. Modalità di segnalazione di situazioni e/o comportamenti a rischio
La Legge 71/2017 indica per la prima volta tempi e modalità per richiedere la rimozione di contenuti ritenuti dannosi per i minori. L’art.2, infatti, prevede che il minore di quattordici anni, ovvero il genitore o altro soggetto esercente la responsabilità sul minore che abbia subito un atto di cyberbullismo, può inoltrare un'istanza per l'oscuramento, la rimozione o il blocco di qualsiasi dato personale del minore, diffuso nella rete:
✓ al titolare del trattamento ✓ al gestore del sito internet ✓ al gestore del social media
Infatti, se entro ventiquattro ore dal ricevimento dell'istanza i soggetti responsabili non abbiano comunicato di avere preso in carico la segnalazione, e entro quarantotto ore provveduto, l'interessato può rivolgere analoga richiesta, mediante segnalazione o reclamo, al Garante11 per la protezione dei dati personali, il quale provvede entro quarantotto ore dal ricevimento della richiesta.
Le scuole possono, altresì. segnalare episodi di cyberbullismo e la presenza di materiale pedopornografico on line al servizio Helpline di Telefono Azzurro 1.96.96, una piattaforma integrata che si avvale di telefono, chat, sms, whatsapp e skype -strumenti per aiutare i ragazzi e le ragazze a comunicare il proprio disagio-e alla Hotline “Stop-It" di Save the Children, all’indirizzo www.stop-it.it, che consente agli utenti della Rete di segnalare la presenza di materiale pedopornografico12 online. Attraverso procedure concordate, le segnalazioni sono successivamente trasmesse al Centro Nazionale per il Contrasto alla Pedopornografia su Internet, istituito presso la Polizia Postale e delle Comunicazioni, per consentire le attività di investigazione necessarie.
3 Governance: una nuova organizzazione.
In linea con quanto previsto dalla Legge 71/2017, il MIUR ha intrapreso una riorganizzazione della struttura amministrativa centrale e periferica che opera per la prevenzione del cyberbullismo, nella convinzione che la migliore modalità di intervento passi attraverso l’istituzione di un efficace sistema di governance che coinvolga le istituzioni, la società civile, gli adulti e gli stessi minori.
È stato introdotto un nuovo sistema di governance che parte dalla costituzione di un Tavolo tecnico centrale, previsto dall’art. 3 della L. 71/2017 e di prossima costituzione, di cui faranno parte istituzioni, associazioni, operatori di social networking e della rete internet, fino a giungere alla richiesta dell’individuazione, nel rispetto dell’autonomia, di un docente referente per ogni istituzione scolastica.
Nelle more della costituzione di detto Tavolo di coordinamento nazionale, rimane e rimarrà fondamentale l’importante azione di coordinamento territoriale esercitata degli Uffici Scolastici Regionali, per il tramite degli Osservatori Regionali all’uopo istituiti e al supporto della rete locale dei Centri Territoriali. La Legge richiama, infine, ad un’ulteriore azione di raccordo con ulteriori figure professionali, altri Enti e istituzioni deputati alla prevenzione e al contrasto del cyberbullismo quali assistenti sociali, educatori, operatori della Giustizia minorile.
3.1 Azioni mirate delle scuole e rivolte agli studenti e alle loro famiglie: il ruolo del dirigente scolastico e del docente referente
La L. 71/2017 all’art. 5 prevede che, nell’ambito della promozione degli interventi finalizzati ad assicurare la qualità dei processi formativi e la collaborazione delle risorse culturali, professionali, sociali del territorio, il dirigente scolastico, definisca le linee di indirizzo del Piano Triennale dell’Offerta Formativa (PTOF) e del Patto di Corresponsabilità (D.P.R. 235/07) affinché contemplino misure specificatamente dedicate alla prevenzione del cyberbullismo13.
Le misure di intervento immediato che i dirigenti scolastici sono chiamati a effettuare, qualora vengano a conoscenza di episodi di cyberbullismo, dovranno essere integrate e previste nei Regolamenti di Istituto e nei Patti di Corresponsabilità, al fine di meglio regolamentare l’insieme dei provvedimenti sia di natura disciplinare che di natura educativa e di prevenzione.
Sarà cura del dirigente assicurare la massima informazione alle famiglie di tutte le attività e iniziative intraprese, anche attraverso una sezione dedicata sul sito web della scuola, che potrà rimandare al sito del MIUR www.generazioniconnesse.it per tutte le altre informazioni di carattere generale.
Parimenti è auspicabile che il dirigente scolastico attivi specifiche intese con i servizi territoriali (servizi della salute, servizi sociali, forze dell’ordine, servizi minorili dell’amministrazione della Giustizia) in grado di fornire supporto specializzato e continuativo ai minori coinvolti ove la scuola non disponga di adeguate risorse.
Secondo la stessa logica, la L. 71/2017 prevede che presso ciascuna istituzione scolastica venga individuato un docente referente con il compito di coordinare le iniziative di prevenzione e di contrasto del cyberbullismo, anche avvalendosi della collaborazione delle Forze di polizia nonché delle associazioni e dei centri di aggregazione giovanile presenti sul territorio.14
Nell’ambito dell’istituzione scolastica il docente referente potrà, quindi, svolgere un importante compito di supporto al dirigente scolastico per la revisione/stesura di Regolamenti (Regolamento d'istituto), atti e documenti (PTOF, PdM, Rav).
Ai docenti referenti, così come ai dirigenti scolastici, non sono quindi attribuite nuove responsabilità o ulteriori compiti, se non quelli di raccogliere e diffondere le buone pratiche educative, organizzative e azioni di monitoraggio, favorendo così l'elaborazione di un modello di e- policy d’istituto.
Tuttavia, al fine assicurare a tutti i soggetti coinvolti in azioni di prevenzione del cyberbullismo strumenti utili per conoscere e attivare azioni di contrasto al fenomeno, il MIUR elaborerà una piattaforma per la formazione dei docenti referenti. Tale azione sarà rafforzata dalle iniziative che saranno previste dal Piano Integrato di cui all’art. 3 della L. 71/2017 nonché dalle iniziative intraprese sia dagli Uffici Scolastici Regionali che dalle istituzioni medesime.
5. Nuovi strumenti introdotti dalla L. 71/2017: l’ammonimento
Nell’ottica di favorire l’anticipo della soglia di sensibilità al rischio e promuovere forme conciliative che possano evitare il coinvolgimento dei minori, sia quali autori del reato sia quali vittime in procedimenti penali, l’art. 7 della Legge 71/2017 prevede uno strumento d’intervento preventivo, già sperimentato in materia di atti persecutori (stalking), ovvero l’ammonimento del Questore.
Tale previsione risulta pienamente coerente con la scelta legislativa di contrastare il fenomeno del cyberbullismo con azioni di tipo educativo, stimolando nel minore ultraquattordicenne una riflessione sul disvalore sociale del proprio atto nonché una generale presa di coscienza sul medesimo.
Nello specifico, nel caso in cui non si ravvisino reati perseguibili d’ufficio o non sia stata formalizzata querela o presentata denuncia per le condotte di ingiuria (reato recentemente depenalizzato), diffamazione, minaccia o trattamento illecito dei dati personali commessi mediante la rete Internet nei confronti di altro minorenne, è possibile rivolgere al Questore, autorità provinciale di Pubblica Sicurezza, un’istanza di ammonimento nei confronti del minore ultraquattordicenne autore della condotta molesta. La richiesta potrà essere presentata presso qualsiasi ufficio di Polizia e dovrà contenere una dettagliata descrizione dei fatti, delle persone a qualunque titolo coinvolte ed eventuali allegati comprovanti quanto esposto.
E’ bene sottolineare che l’ammonimento, in quanto provvedimento amministrativo, non richiede una prova certa e inconfutabile dei fatti, essendo sufficiente la sussistenza di un quadro indiziario che garantisca la verosimiglianza di quanto dichiarato.
Qualora l’istanza sia considerata fondata, anche a seguito degli approfondimenti investigativi ritenuti più opportuni, il Questore convocherà il minore responsabile insieme ad almeno un genitore o ad altra persona esercente la potestà genitoriale, ammonendolo oralmente e invitandolo a tenere una condotta conforme alla legge con specifiche prescrizioni che, ovviamente, varieranno in base ai casi.
La legge non prevede un termine di durata massima dell'ammonimento ma specifica che i relativi effetti cesseranno al compimento della maggiore età.
Pur non prevedendo un’aggravante specifica per i reati che il minore potrà compiere successivamente al provvedimento di ammonimento, senza dubbio tale strumento rappresenta un significativo deterrente per incidere in via preventiva sui minori ed evitare che comportamenti, frequentemente assunti con leggerezza, possano avere conseguenze gravi per vittime e autori.
-------
1 Art.1, commi 7, 57,58 della Legge n.107del 15 luglio 2015 “Riforma del sistema nazionale di istruzione e formazione e delega per il riordino delle disposizioni legislative vigenti”; Legge n. 71 del 29 maggio 2017 “Disposizioni a tutela dei minori per la prevenzione ed il contrasto del fenomeno del cyberbullismo”. 2 L’ articolo 4, comma 1 della Legge 71 del 29 maggio 2017 prevede che l’aggiornamento delle Linee di orientamento avvenga con cadenza biennale.
3 Art. 4, comma. 2 della Legge n. 71 del 29 maggio 2017.
4 Art. 1, commi 57, 58.
5.http://www.miur.gov.it/web/guest/scuola-digitale 6 Art. 4, comma 2,. D.P.R. 24 giugno 1998, n. 249.
7 Nell’ottica della collaborazione inter-istituzionale che deve caratterizzare le attività dell’amministrazione centrale e periferica e delle stesse istituzioni scolastiche, si auspica un’azione sinergica con le strutture centrali e territoriali del Dipartimento per la Giustizia Minorile e di Comunità che ha previsto, nella propria riorganizzazione, uno specifico ufficio per la prevenzione della devianza e per la giustizia riparativa.
8 L’iniziativa è coordinata dal MIUR e realizzata in partenariato con: Ministero dell’Interno-Polizia Postale e delle Comunicazioni, l’Autorità Garante per l’Infanzia e l’Adolescenza, Save the Children Italia Onlus, Sos Il Telefono Azzurro, l’Università degli Studi di Firenze, l’Università degli Studi di Roma “La Sapienza”, Skuola.net, la Cooperativa E.D.I., Movimento Difesa del Cittadino e l’Agenzia Dire.
9 http://www.generazioniconnesse.it/site/it/area-scuole/ /
10 Le informazioni sono reperibili al sito: https://www.giustizia.it/giustizia/it/mg_2_5_12.page
11 Il Garante ha predisposto il modello per la segnalazione di casi di cyberbullismo che si trova sul sito http://www.garanteprivacy.it/cyberbullismo. 12 Per la legislazione corrente, anche il materiale prodotto attraverso la pratica del sexting, che abbiamo visto essere molto diffusa tra i giovani, è da considerarsi pedopornografico.
13 Il comma 1 dell’art. 5 prevede che il dirigente scolastico, “salvo che il fatto costituisca reato, in applicazione della normativa vigente e delle disposizioni di cui al comma 2, il dirigente scolastico che venga a conoscenza di atti di cyberbullismo ne informa tempestivamente i soggetti esercenti la responsabilità genitoriale ovvero i tutori dei minori coinvolti e attiva adeguate azioni di carattere educativo”.
14 Art. 4 , comma 3 della Legge n. 71 del 29 maggio 2017.
Firmato digitalmente da VALERIA FEDELI
KEYWORDS
#studenti: bullismo e cyberbullismo#cyberbullismo #prevenzione #contrasto #azione #scuola #ammonimento #strumento #minore #miur #iniziativa
07/03/2024 n° 135
Area: Prassi, Circolari, Note
[doc. web n. 10008526]
Provvedimento del 7 marzo 2024
Registro dei provvedimenti
n. 135 del 7 marzo 2024
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);
VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);
VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;
Relatore l’avv. Guido Scorza;
PREMESSO
1. Il reclamo
Con reclamo presentato dall’avv. XX, in nome e per conto dei genitori di diciotto alunni frequentanti la classe 3°, sez. A, della scuola primaria OMISSIS, dell’Istituto comprensivo di OMISSIS (di seguito anche solo “Istituto” o “scuola”), è stata lamentata la presunta violazione della disciplina in materia di protezione dei dati personali, nell’ambito della realizzazione di un progetto di ricerca scientifica, denominato “le competenze sociali in età scolare: correlati cognitivi, emotivi e comportamentali” e volto “a studiare i correlati sottostanti lo sviluppo di competenze relazionali in età scolare”, condotto dalla Cattedra di psicologia dello sviluppo e dell’educazione della Facoltà di Scienze politiche, sociologia, comunicazione, dell’Università degli Studi di Roma La Sapienza (di seguito “Università”), presso il predetto Istituto scolastico.
In particolare, è stato segnalato che in data XX, sono stati somministrati ai predetti alunni tre questionari, seguiti da un colloquio personale con la maestra XX (definita nel reclamo come “incaricata della ricerca da parte della scuola”) e con la dottoressa XX, ricercatrice dell’Università La Sapienza di Roma, volti ad effettuare uno screening sull’età evolutiva. In tale ambito sono state altresì raccolte informazioni relative alla vita sessuale dei giovani partecipanti (di età compresa tra i 7 e gli 8 anni), alcuni dei quali sarebbero stati anche turbati dell’invasività delle domande ricevute. Ci si riferisce, in particolare, al colloquio e al terzo test di nome “Erickson TSCC formato da 54 moduli di risposta a scelta multipla (…) volto ad evidenziare possibili situazioni di abusi sessuali o fisici subiti dai bambini”.
Nella documentazione trasmessa è stato, altresì, rappresentato che, a fronte dell’asserito (da parte della Preside dell’Istituto) anonimato dei dati trattati, sono state sottoposte agli studenti delle “schede dati” per la raccolta di: “sigla (inziali, cognome e nome); età e sesso del bambino; professione, titolo di studio ed età del padre; professione, titolo di studio ed età della madre; numero di fratelli e sorelle ed età degli stessi” e che “i test riportavano, in alto a sinistra, un codice identificativo scritto a matita (formato da un numero e due o tre lettere) riportato anche nella scheda dati”.
Le circostanze sopra descritte hanno determinato la preoccupazione e il risentimento dei genitori degli alunni arruolati nel richiamato progetto di ricerca che, a seguito di svariate interlocuzioni con l’Istituto, hanno richiesto la restituzione dei test.
Successivamente, d’accordo i genitori istanti, i moduli recanti i test degli studenti sono stati messi -alla presenza di quattro genitori- “in busta chiusa” e depositati nella cassaforte dell’Istituto “fino al ritorno della Preside”, assente per motivi istituzionali.
In seguito all’ottenimento di ulteriori chiarimenti in merito alla tipologia di test sottoposti agli studenti e alle modalità di compilazione degli stessi, “ciascun genitore produceva (…) una formale richiesta di restituzione del test del proprio figlio ai sensi dell’articolo 7 del d.lgs. 196/2003, indicando il codice identificativo personale. Tutte le istanze venivano protocollate con lo stesso numero di protocollo (prot. n. XX)”.
A tale istanza hanno fatto seguito quelle del XX (prot. XX) e del XX (prot. n. XX) presentate dalla rappresentante di classe, al fine, rispettivamente, di avere un incontro con la Preside e di ottenere che l’apertura del pacco sigillato contenente i test del progetto di ricerca fosse effettuata in presenza “delle persone che avevano firmato il pacco”.
Al termine di una reiterata serie di istanze volte ad ottenere copia del verbale di riapertura dei plichi, di colloqui personali e/o di gruppo con i responsabili del progetto e di restituzione dei test, in data XX, la dirigente scolastica ha denegato l’istanza di accesso e di restituzione dei test in ragione del presunto anonimato delle informazioni raccolte (nota prot. n. XX).
È stato, infine, evidenziato che a seguito degli esposti presentanti ai competenti uffici del Ministero dell’Istruzione, dell’Università e della Ricerca “in data XX alcuni ispettori del Miur si sono recati presso la Scuola [...] questi abbiano ritirato dalla preside XX il plico dei questionari, trattenendolo in custodia”.
2. L’attività istruttoria
L’Ufficio ha avviato una specifica istruttoria in relazione al richiamato reclamo, nell’ambito della quale sono state formulate due richieste di informazioni all’Università e all’Istituto Scolastico, ai sensi dell’art. 157 del Codice, volte ad ottenere ulteriori elementi di valutazione rispetto alla doglianza pervenuta (note del XX, prot. n. XX e del XX, prot. n. XX).
Merita in questa sede richiamare in primo luogo i riscontri dell’Università che, con nota del XX (prot. n. XX), ha rappresentato, ai sensi dell’art. 168 del Codice, in particolare che la dott.ssa XX oltre ad essere una ricercatrice dell’Ateneo era anche il responsabile del progetto di ricerca e, riportando le dichiarazioni della stessa, ha evidenziato che:
- previa adesione da parte dell’Istituto comprensivo di OMISSIS e approvazione del Collegio dei docenti, “così come previsto dalla procedura per i rapporti di collaborazione ai fini di ricerca, è stata fatta richiesta di consenso ai genitori a garanzia del trattamento dei dati in modo assolutamente anonimo e per esclusivi fini di ricerca”;
- sono stati, pertanto, acquisiti i “consensi” dei genitori degli alunni coinvolti nella ricerca;
- la ricerca, accanto alla somministrazione di test, si completava con “una scheda anamnestica anch’essa anonima” attraverso la quale “è stato richiesto di indicare età e genere degli alunni, età, titolo di studio e professione dei genitori”;
- “ogni test è stato esclusivamente siglato in modo da garantire la non riconoscibilità dei bambini”;
- “il separation anxiety test (...) è stato somministrato individualmente e associato in egual modo in via anonima alle altre scale self report per mezzo della medesima sigla”;
- “al termine della somministrazione sono stati creati pacchetti di test con la stessa sigla, che li rende del tutto anonimi e che fa sì che le risposte non possano essere associate ai singoli bambini.
In altri termini le sigle presenti sui test hanno avuto lo scopo di fare abbinare, sempre in modo anonimo, le diverse batterie di test tra loro, senza tuttavia alcun tipo di riconducibilità al soggetto minore”;
- “nessuno pertanto, tanto meno la dott.ssa XX, ha mai preso visione delle risposte fornite dagli alunni (...) i cui plichi sono rimasti per tutto il tempo sigillati e custoditi presso la presidenza dell’Istituto per impedirne l’accesso a terzi. I plichi, inoltre, non potevano essere restituiti ai genitori poiché le sigle erano associate solo alle tipologie dei test e giammai al nome e cognome degli alunni”;
- “i test sono stati resi in formato del tutto anonimo e che nessuno ha potuto estrapolarne i risultati, né tanto meno è possibile ricondurre un test ad un singolo alunno, trattandosi di indagine anonima di valutazione collettiva”;
- “i test, ovviamente, non sono stati utilizzati da parte dell’allora laureanda insegnate (ndr. prof. XX) presso la scuola di Frascati essendo stato cambiato subito l’argomento della propria tesi”;
Successivamente l’Università, con nota del XX (prot. n. XX), oltre a quanto già rappresentato, ha precisato che:
- “la vicenda (…) trae origine dalla richiesta della laureanda XX, insegnante presso l’Istituto (…), di svolgimento di una tesi di laurea triennale sperimentale in Sociologia con la dott.ssa XX. (…) La somministrazione dei test, (…) è avvenuta da parte degli insegnanti della scuola”;
- “in ragione del venir meno del consenso da parte dei genitori, i risultati dei test non sono mai stati consegnati all’Università e alla laureanda né utilizzati dalla stessa”;
- “i test consegnati dalla dott.ssa XX alla laureanda sono stati somministrati in formato anonimo agli alunni della Scuola. (…) In altri termini, per il personale di Ateneo e, in particolare, per la dott.ssa XX e per la laureanda, le informazioni raccolte presso l’Istituto, attraverso la somministrazione dei test agli alunni della scuola non erano associabili ad alcun interessato. Per il personale dell’Università, pur presente alla somministrazione dei test, non sarebbe stato in alcun modo possibile identificare i soggetti interessati, neanche attraverso una successiva operazione di collegamento ad eventuali ulteriori informazioni disponibili, in quanto l’elenco degli studenti e il registro di classe non sono mai entrati nella materiale disponibilità della dott.ssa XX e della laureanda. È importante precisare, tra l’altro, che le stesse non hanno mai conosciuto l’identità dei bambini;
- (...) il criterio per la numerazione dei questionari è stato definito dall’insegnante che ha somministrato i test alla classe. Tale criterio non avrebbe in alcun modo permesso al personale dell’Ateneo di avere contezza dell’identità degli alunni. I 4 test sopra specificati sono stati somministrati agli alunni separatamente, ciò significa che il test numero 1 è stato somministrato in gruppo all’intera classe e solo successivamente, al ritiro del test n. 1, è stato somministrato il test n. 2 e così via. Pertanto, il criterio utilizzato dall’insegnante per la numerazione dei test ovvero l’attribuzione di un numero progressivo unitamente alla prima lettera del nome e del cognome di ciascun alunno, comunque non apposti dal personale dell’Università, ha avuto il solo e unico fine di permettere il corretto abbinamento, sempre in modo anonimo, delle diverse batterie di test tra loro (abbinamento delle batterie nn. 1, 2, 3 e 4), senza alcun tipo di riconducibilità al soggetto minore (…)”;
- “(...) la Sapienza non è a conoscenza delle istruzioni fornite da parte dell’Istituto comprensivo di Frascati Scuola Primaria Villa Sciarra al personale autorizzato alla somministrazione dei test e ai relativi trattamenti dei dati”;
- il personale dell’Ateneo non ha potuto effettuare il trattamento dei dati raccolti tramite la somministrazione dei test e che, in ogni caso, nell’attività di ricerca è sempre stata rispettata la normativa vigente in materia di protezione dei dati personali e le vigenti regole deontologiche. Come già rappresentato, infatti, le previsioni delle regole deontologiche sono state sostanzialmente rispettate (…). Preme, inoltre, rilevare che le richiamate “Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica” (doc. web n. 9069637) sono state implementate e pubblicate sulla Gazzetta Ufficiale n. 11 del 14 gennaio 2019 (registro dei provvedimenti n. 515 del 19 dicembre 2018) e, quindi, in data successiva agli avvenimenti in argomento risalenti al XX, fermo restando il rispetto delle regole precedentemente vigenti. Infine, nella denegata ipotesi in cui codesta Autorità non dovesse condividere le motivazioni sopra illustrate, è doveroso precisare che, ai sensi dell’art. 22, comma 13, del D.Lgs. n. 101/2018 di adeguamento del Codice privacy al Regolamento europeo 2016/679, “per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione di dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative […] della fase di prima applicazione delle disposizioni sanzionatorie”. La circostanza in esame, essendosi verificata in data XX rientrerebbe, pertanto, nella fase di moratoria di cui alla citata disposizione normativa.
Con nota del XX (prot. n. XX) l’Istituto scolastico, rispondendo alla richiesta di informazioni formulata da questa Autorità, ha rappresentato, anche secondo quanto emerge dalla documentazione allegata, in particolare, che:
- il Collegio dei docenti del XX ha approvato la partecipazione al richiamato progetto di ricerca “senza nessuna analisi approfondita” dello stesso;
- la prof.ssa XX, non docente della classe coinvolta nella ricerca, è stata nominata dall’Istituto referente interna del progetto, occupandosi dell’”apposizione, in cima ad ogni test della sigla e del numero progressivo, lo stesso riportato sulle schede di osservazione del comportamento dei bambini redatto” dalla prof.ssa XX, supervisionando alla somministrazione dei test il giorno XX;
- i test sono stati compilati con la supervisione e il supporto, altresì, delle prof.sse XX e XX;
- ai test, per un’ulteriore analisi, sono seguiti colloqui individuali, alla presenza della prof.ssa XX e della dott.ssa XX, con la proiezione di immagini stampate raffiguranti la famiglia;
- conclusasi la fase di rilevazione dei dati, i test sono stati imbustati, sigillati e conservati presso i locali dell’Istituto scolastico;
- a seguito della richiesta di sospensione della somministrazione dei test, avanzata tramite la rappresentante di classe dei genitori degli alunni arruolati, la ricerca è stata interrotta;
- in riscontro alle svariate istanze di restituzione dei test avanzate da alcuni dei genitori coinvolti, l’Istituto scolastico ha rappresento che, trattandosi di test somministrati in forma anonima, non era possibile consegnare quanto richiesto (cfr. ad esempio, nota del XX, prot. XX);
- in data XX il plico è stato consegnato al collegio ispettivo del Miur (allegato n. XX verbale di consegna)
- “sono stati rispettati tutti gli articoli previsti per la condizione di liceità della legge 679/2016 e sono state acquisite le liberatorie (…);
- “in merito alla limitazione della conservazione, il plico successivamente in data XX è stato consegnato al collegio ispettivo (…)”;
- “gli interessati hanno espresso il consenso al trattamento dei propri dati per la specifica finalità”;
- “in merito alle informazioni da fornire all’interessato si precisa che tali informazioni sono state acquisite secondo le finalità specifiche del progetto di ricerca scientifica condotto” dall’Università”;
- “il titolare del trattamento dei dati dell’IC di OMISSIS non ha mai avuto intenzione alcuna di trattare i dati acquisiti per finalità diverse da quelle del progetto presentato dall’Università”.
L’Istituto scolastico, inoltre, con nota del XX (Prot. XX), ha evidenziato inoltre di aver proceduto a fare richiesta alla responsabile del progetto che ha riconfermato che le “rilevazioni su base di anonimato avevano una sigla alfanumerica progressiva che non dava nessun tipo di indicazione certa per la restituzione”. È stato, inoltre, confermato che “essendo stato tutto secretato e preso in carico dal collegio ispettivo” risulta impossibile “collegare i test a i diversi soggetti”.
3. L’avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori, ai sensi dell’art. 166, comma 5 del Codice
Sulla base degli elementi acquisiti l’Ufficio ha notificato all’Istituto, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, in quanto l’Istituto scolastico ha trattato dati personali, seppur in parte codificati, in assenza di un idoneo presupposto giuridico in quanto privo di nomina a responsabile del trattamento dei dati, ai sensi dell’art. 28 del Regolamento, in violazione del principio di “liceità, correttezza e trasparenza” (artt. 5, par. 1, lett. a) e. 6, 9 e 28 del Regolamento) e non ha consentito ai genitori istanti l’esercizio dei diritti di accesso ai dati personali dei propri figli sull’erroneo presupposto di disporre di informazioni anonime, in violazione degli artt. 15 e seguenti del Regolamento.
L’Istituto ha fatto pervenire le proprie memorie difensive rappresentando, in particolare, che:
- “in data XX veniva inviata dalla Dott.ssa XX, docente di Psicologia dello Sviluppo e dell'Educazione dell'Università degli Studi di Roma "La Sapienza", una richiesta di autorizzazione ad accedere ai locali dell'Istituto per poter effettuare una rilevazione dati "finalizzata allo svolgimento del progetto di ricerca [...] nella quale veniva allegato in calce il modulo del consenso dei genitori al rilevamento dei dati. La richiesta avanzata dall'Università veniva comunicata a tutti i docenti ed approvata dal Collegio con delibera n. XX del XX”;
- A seguito della delibera, i docenti si sono adoperati al fine di raccogliere le adesioni dei genitori, che hanno prestato il loro consenso alla somministrazione del test attraverso i moduli di consenso alla rilevazione dei dati resi dalla referente dell'Università”;
- “In data XX la docente XX, in qualità di referente interna del progetto, comunicava che il giorno successivo la Prof.ssa XX dell'Università "La Sapienza", avrebbe effettuato la ricerca autorizzata dai genitori nei locali della Scuola, dalle ore 9.00 alle 16.30”;
- “Nei giorni successivi alla somministrazione del test la (dirigente scolastica), la quale era fuori sede in quanto accompagnatrice di un'altra classe in campo scuola, veniva informata di una situazione di agitazione in corso, causata dai test somministrati ai bambini, sulla base di quanto questi ultimi avrebbero riferito in famiglia”;
- “Stante la delicatezza nonché criticità della situazione, il plico contenente i test somministrati ai bambini veniva sigillato e custodito all'interno della cassaforte della Segreteria”;
- “Al suo ritorno nell'Istituto Scolastico, la Dirigente rilevava: - Che i genitori della classe III A avevano richiesto la restituzione del test del proprio figlio; - Che la rappresentante della classe IV B chiedeva la sospensione della somministrazione del test alla classe”;
- “In data XX, dinanzi a tali numerose sollecitazioni la Dirigente, alla presenza del DSGA e del proprio collaboratore, provvedeva all'apertura del plico ed a verbalizzare il contenuto, dando atto della presenza di "18 fascicoli in buste trasparenti. (...) Detti fascicoli riportano a matita in alto a sinistra un numero (1 2 3 4 6 7 9 15 16 13 10 11 14 5 8 17 18 19 ...) che fascicolate risultano da 1 a 19 risultante mancante il n. 12 e due o più lettere; risulta altresì altro fascicolo in bustina trasparente contenente 18 schede di osservazione del comportamento effettuato dal docente (non identificato). Non vi è altro all'interno del plico che potrebbe far condurre e risalire con assoluta certezza a chi possano appartenere";
- “La Dirigente prendeva a campione un fascicolo, al fine di verificare il contenuto delle domande, nelle quali rilevava che "i 3 fogli spillati con pinzatrice "test TSCC" ha contenuto riguardanti la sfera sessuale";
- “La Dott.ssa XX disponeva dunque la sospensione, all'interno dell'Istituto, della ricerca (…) e relativa somministrazione nelle classi IV V in attesa di chiarimenti da parte dell'Università La Sapienza Dipartimenti Scienza Sociali ed Economiche nella persona della dott.ssa XX"”;
- “La Dott.ssa XX, con nota prot. n. XX del XX, comunicava alla Dirigente la disponibilità per un incontro in data XX, che si è svolto alla presenza del DSGA e del docente referente”;
- “In tale sede, l'assistita provvedeva a formulare una serie di domande a chiarimento esponendo in particolare che, in base ad una successiva ricerca effettuata dalla medesima, tale progetto si sarebbe rivelato utile in ambito forense e clinico in bambini che avevano subito abusi e che nessuna informazione del genere era stata comunicata alla Dirigente precedentemente la somministrazione dei test”;
- “In data XX la Dott.ssa XX avviava un procedimento disciplinare a carico della docente XX che, in qualità di referente del progetto, avrebbe dovuto quantomeno verificare i contenuti dei test somministrati ai bambini, al fine di verificarne la corrispondenza con quanto oggetto della ricerca”;
- “In data XX la Dirigente comunicava di non poter procedere alla restituzione dei test, in quanto "somministrati in forma anonima" nonché "sigillati, secretati e conservati nella cassaforte" dell'Istituto Scolastico”;
- In data XX veniva presentato dai genitori degli alunni un esposto al MIUR, che chiedeva in data XX alla Dott.ssa XX di trasmettere una relazione in merito alla ricerca condotta dalla cattedra di Psicologia dell'Università degli Studi di
Roma "La Sapienza";
- “In relazione a quanto contestato dall'Autorità GPDP con riferimento alla mancata stipula di un "contratto o altro atto giuridico" si rappresenta che, come confortato dalla medesima Dott.ssa XX, è stata seguita la prassi prevista per i rapporti di collaborazione, a fini di ricerca, che vengono solitamente stipulati dall'Università degli Studi di Roma "La Sapienza"”;
- “L'Istituto Scolastico ha dunque agito nel pieno rispetto delle proprie funzioni, non essendo prevista la stipula di un contratto, a differenza di tutte quelle prestazioni per le quali la Scuola è tenuta al pagamento di un corrispettivo, quali ad esempio servizi e forniture”;
- “Nel caso di specie, la sperimentazione e la ricerca sono state effettuate nei termini di cui all'art. 7 del d. Igs. n. 297/94, comma 1 lettere a) e f) laddove è previsto, tra le funzioni del Collegio docenti che: "a) ha potere deliberante in materia di funzionamento didattico del circolo o dell'istituto. In particolare cura la programmazione dell'azione educativa anche al fine di adeguare, nell'ambito degli ordinamenti della scuola stabiliti dallo Stato, i programmi di insegnamento alle specifiche esigenze ambientali e di favorire il coordinamento interdisciplinare. Esso esercita tale potere nel rispetto della libertà di insegnamento garantita a ciascun docente; (…) adotta o promuove nell'ambito delle proprie competenze iniziative di sperimentazione in conformità degli articoli 276 e seguenti"”;
- “È dunque evidente che l'attività di ricerca condotta dall'Università degli Studi di Roma "La Sapienza" si colloca nell'ambito di un progetto di ricerca e sperimentazione, per il quale non è prevista la stipula di alcun contratto, conformemente a quanto sancito nel Testo Unico Scuola”;
- “In particolare, alla Dott.ssa XX è stato chiesto il previo consenso allo svolgimento di un test diretto a rilevare "le competenze sociali in età scolare: correlati cognitivi, emotivi e comportamentali", la cui programmazione prevedeva il rilascio di una autorizzazione di consenso da parte dei genitori degli alunni, ai sensi del d. Igs. n.169/03. Ciò a garanzia del trattamento dei dati in modo del tutto anonimo e per esclusive finalità di ricerca”;
- “L'anonimato nel trattamento dei dati personali è stato quindi garantito dalle medesime autorizzazioni fornite dai genitori degli alunni”;
- “In riferimento alla natura e all'oggetto della finalità del trattamento, occorre precisare che la somministrazione dei test era stata presentata dall'Università degli Studi di Roma "La Sapienza" come un progetto concernente "le competenze sociali in età scolari correlati cognitivi, emotivi e comportamentali". La Dirigente non era stata pertanto resa edotta dell'oggetto delle domande da sottoporre agli alunni, in particolare nella richiesta di rilevamento dati avanzata dall'Università non vi era traccia alcuna della somministrazione di quesiti a sfondo sessuale come quelle sottoposte agli alunni”;
- “In relazione alle contestazioni sollevate nei confronti della assistita, avuto riguardo alla gravità della presunta violazione, si precisa che nel caso di specie non vi è stata alcuna diffusione dei dati degli alunni in quanto, a seguito della prima somministrazione dei questionari alla classe III A, la Dirigente ha prontamente sospeso lo svolgimento dei test nelle altre classi, al fine di ricevere chiarimenti da parte dell'Università, come emerge dal verbale di apertura del plico test”;
- “l'Istituto Scolastico, nella persona del Dirigente, ha agito nell'esercizio delle proprie funzioni, con l'approvazione dei genitori degli alunni e sulla base della delibera del Collegio dei docenti”;
- “Non è pertanto ravvisabile in capo alla Dott.ssa XX alcuna forma di responsabilità, né colposa e tantomeno dolosa, non essendo la stessa a conoscenza del reale contenuto dei test somministrati agli alunni ed avendo agito in buona fede, sulla base delle autorizzazioni rilasciate dai genitori degli alunni”;
- “A ciò deve aggiungersi che l'assistita, a seguito delle segnalazioni ricevute, ha concretamente posto in essere una serie di misure al fine di attenuare il presunto danno lamentato dai genitori degli alunni”;
- “In ogni caso l'assistita, pur non essendo presente all'interno dell'Istituto per gli indicati fini istituzionali, si è attivata disponendo telefonicamente l'immediata secretazione del plico sigillato e la sua custodia all'interno della cassaforte della Scuola, a firma del docente coordinatore, del rappresentante dei genitori […] e di due insegnanti di classe, al fine specifico di evitare la divulgazione dei dati oggetto dei questionari”;
- “La Dirigente ha pertanto posto in essere tutte le misure idonee ad evitare la divulgazione dei dati degli alunni che, nel caso di specie, non si è in alcun modo concretizzata”;
- “Quanto contestato alla assistita con riferimento ad una presunta violazione degli articoli 15 e 17 del Regolamento europeo per la Protezione dei dati personali, è privo di fondamento in quanto i dati contenuti all'interno dei questionari non sono stati oggetto di divulgazione alcuna da parte della Scuola”;
- “Nella vicenda che ci occupa, non è stato divulgato alcun dato contenuto all'interno dei predetti test che, si ripete, sono stati immediatamente sigillati e custoditi all'interno della cassaforte dell'Istituto Scolastico, non ravvisandosi pertanto i presupposti della contestata violazione”;
- “L'art. 6 del Regolamento, in tema di "Liceità del trattamento' dispone espressamente che: "1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: a) l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità"”;
- “I genitori degli alunni, in qualità di esercenti la potestà genitoriale sui medesimi, hanno specificamente autorizzato ai sensi del D. Lgs. n. 196/03 e ss. la rilevazione dei dati oggetto del test somministrato agli alunni, con la conseguenza che non si riscontrano estremi di illiceità, avendo l'Istituto Scolastico, nella persona del Dirigente p.t., agito conformemente ad un consenso espressamente prestato”;
- “I genitori degli alunni hanno difatti autorizzato il trattamento dei dati personali per le finalità proprie dei questionari, che sono stati svolti in maniera del tutto anonima e non identificabile”;
- “La Dirigente ha agito nel pieno rispetto della riservatezza dei dati oggetto dei questionari, avendo prontamente sospeso lo svolgimento dei medesimi e procedendo alla immediata custodia di quelli già svolti nella classe III A, al fine di evitare qualsiasi possibile forma di divulgazione che sarebbe conseguita anche dalla esibizione dei test ai genitori degli alunni”;
- “L'art. 83 comma 2 lett. k) contempla, tra le "Condizioni generali per infliggere sanzioni amministrative pecuniarie" la rilevanza di "eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione". Con riferimento specifico a tale punto, si precisa che la Dott.ssa XX svolge le funzioni di Dirigente Scolastico in un Istituto costituito da cinque plessi sul territorio di Frascati, con una utenza che supera i 1000 alunni e circa 150 dipendenti, tra docenti e collaboratori scolastici”;
- “La Dirigente, che da sempre vanta una fama ed un'attività conformi ai propri doveri deontologici, per effetto della contestata violazione si è resa suo malgrado protagonista di una serie critiche che hanno arrecato un vero e proprio danno alla sua immagine professionale e di quella dello stesso Istituto scolastico”.
4. Esito dell’attività istruttoria
4.1 Normativa applicabile
Ai sensi del Regolamento europeo, divenuto applicabile dal 25 maggio 2018, per “dato personale” si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)”. Inoltre, “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (art. 4, punto 1), del Regolamento).
Ineriscono alle particolari categorie di dati, tra gli altri, quelli relativi alla salute, alla vita sessuale e all’orientamento sessuale (art. 9, par. 1 del Regolamento).
Si considerano dati personali anche quelli oggetto di una “procedura di pseudonimizzazione ossia di un trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile” (art. 4, par. 1. n. 5 del Regolamento).
Il trattamento dei dati personali deve avvenire nel rispetto dei principi di “liceità, correttezza e trasparenza” in base ai quali i dati personali devono essere trattati “in modo lecito, corretto e trasparente nei confronti dell’interessato” (artt. 5, par. 1, lett. a) 6 e 9 del Regolamento).
In tale quadro, il trattamento dei dati relativi alla salute, alla vita sessuale e all’orientamento sessuale è, in via generale, vietato a meno che non ricorra una delle condizioni di cui all’art. 9, par. 2 del Regolamento.
In base al Regolamento, inoltre, “qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del (...) Regolamento e garantisca la tutela dei diritti dell'interessato”. “I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”. (...) “se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione” (art. 28, par. 1, 3, 10).
La normativa comunitaria prevede, infine, che “Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri” (art. 29 del Regolamento).
Si rappresenta, inoltre, che il Regolamento, agli artt. 12 e seguenti, disponendo in materia di “diritti dell’interessato”, prevede il diritto dell’interessato di ottenere dal titolare il riscontro alla richiesta di esercizio dei diritti presentata ai sensi degli articoli da 15 a 22 del Regolamento, ciò, a meno che non ricorra uno dei casi di limitazione dei diritti dell’interessato tassativamente indicati all’art. 23 del Regolamento e all’art. 2-undecies del Codice.
In particolare l’art. 15 del Regolamento prevede che l'interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali.
Al riguardo occorre evidenziare che il diritto di accesso è attribuito all’interessato “per essere consapevole del trattamento e verificarne la liceità” (Cons. n. 63 del Regolamento).
Il dato anonimizzato, al quale non si applica la disciplina in materia di protezione dei dati personali, è tale solo se non consente l’identificazione diretta o indiretta di una persona tenuto conto di tutti i mezzi ragionevoli (economici, informazioni, risorse tecnologiche, competenze, tempo) nella disponibilità di chi (titolare o altro soggetto) provi a utilizzare tali mezzi per identificare un interessato. Il descritto processo, qualificato come anonimizzazione, deve pertanto impedire che si possa:
1. isolare una persona in un gruppo (single-out);
2. collegare un dato anonimizzato a dati riferibili a una persona presente in un distinto insieme di dati (linkability);
3. dedurre nuove informazioni riferibili a una persona da un dato anonimizzato (inference).
La non identificabilità degli interessati deve essere correlata pertanto all’assenza di univocità all’interno della banca dati considerata e non semplicemente alla non intellegibilità dei dati identificativi.
4.2 Valutazione in ordine al trattamento di dati personali effettuato dall’Istituto
Dall’accertamento compiuto, sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni del Dipartimento, risulta che, in data XX, presso l’Istituto Comprensivo di OMISSIS, sono stati somministrati, per conto dalla Cattedra di psicologia dello sviluppo e dell’educazione della facoltà di scienze politiche, sociologia, comunicazione dell’Università di Roma Sapienza taluni test agli alunni della classe 3°, sez. A, della scuola primaria OMISSIS, nell’ambito del progetto di ricerca scientifica promosso dal predetto Ateneo e denominato “le competenze sociali in età scolare: correlati cognitivi, emotivi e comportamentali” che gli alunni hanno compilato.
In via preliminare, si osserva che la realizzazione della richiamata iniziativa di ricerca scientifica, da parte dell’Istituto sia avvenuta senza la necessaria consapevolezza in ordine ai correlati aspetti e adempimenti di protezione dei dati personali.
Al riguardo, non può non evidenziarsi tuttavia come i fatti siano accaduti in estrema prossimità dell’entrata in vigore del Regolamento e nel contesto di una scuola elementare, sebbene specifici adempimenti fossero già richiesti dalla disciplina di settore di cui al Codice in materia di protezione dei dati personali.
Ciò premesso, come emerso nel corso dell’istruttoria, il trattamento dei dati in esame è stato svolto dall’istituto scolastico non per il perseguimento di finalità proprie inerenti alle funzioni istituzionali della scuola ma per conto dell’Università, tuttavia senza che il ruolo della scuola fosse disciplinato ai sensi dell’art. 28, non essendo stata fornita all’istituto scolastico alcuna indicazione in ordine al ruolo di responsabile del trattamento dei dati degli alunni né le istruzioni per il trattamento di tali dati.
Sul punto, si evidenzia che ai sensi dell’art. 28 del Regolamento, il titolare può affidare un trattamento anche a terzi soggetti che presentino garanzie sufficienti a mettere in atto di misure tecniche e organizzative idonee a garantire che il trattamento sia conforme alla disciplina in materia di protezione dei dati personali (“responsabili del trattamento”). In questo caso, “i trattamenti da parte di un responsabile sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile al titolare e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare” (art. 28, par. 1 e 3, del Regolamento).
L’assenza di ogni tipo di accordo formale tra l’Università e l’Istituto in ordine alla realizzazione del progetto di ricerca scientifica, nonché le stesse dichiarazioni dell’Istituto scolastico -che conferma di avere agito nel “pieno del rispetto delle proprie funzioni”- e la circostanza che “il criterio per la numerazione dei questionari è stato definito dall’insegnante che ha somministrato i test alla classe”, sono tali da far ritenere che anche l’Istituto (come l’Università) abbia inteso in tale ambito agire in qualità di autonomo titolare del trattamento, ai sensi dell’art. 24 del Regolamento, in particolare ponendosi in tale veste nei confronti degli interessati. Ciò atteso anche il coinvolgimento diretto del personale docente nella realizzazione del progetto non preceduto da specifiche istruzioni da parte dell’Università.
Cionondimeno le operazioni di trattamento poste in essere da parte della scuola in veste di autonomo titolare (benché in concreto circoscrivibili solo alla raccolta e archiviazione dei test compilati) sono state effettuate in assenza delle condizioni di liceità previste dal Regolamento e dal Codice, come già in precedenza chiarito dal Garante con riguardo ad analoghe fattispecie (cfr. Linee guida “sui concetti di titolare e responsabile del trattamento nel GDPR” n. 07/2020, in particolare nota 35).
L’Istituto scolastico può infatti trattare dati di carattere personale, anche inerenti alle particolari categorie, solo se necessari “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”, in presenza di una specifica base normativa che, tra le altre cose, deve indicare le specifiche finalità del trattamento, inerenti alle competenze istituzionali del titolare (cfr. art. 6, par. 1, lett. e) e 9, par. 2 lett. g) del Regolamento).
A tale riguardo, si osserva che è risultato inconferente rispetto all’attività in concreto svolta dalla scuola il riferimento all’art. 7 del d. lgs. n. 297/94, comma 1 lettere a) e f) “laddove è previsto, tra le funzioni del Collegio docenti che: "a) ha potere deliberante in materia di funzionamento didattico del circolo o dell'istituto. In particolare cura la programmazione dell'azione educativa anche al fine di adeguare, nell'ambito degli ordinamenti della scuola stabiliti dallo Stato, i programmi di insegnamento alle specifiche esigenze ambientali e di favorire il coordinamento interdisciplinare. Esso esercita tale potere nel rispetto della libertà di insegnamento garantita a ciascun docente; (…) adotta o promuove nell'ambito delle proprie competenze iniziative di sperimentazione in conformità degli articoli 276 e seguenti, ciò in quanto le operazioni di raccolta e archiviazione dei test compilati sono risultate funzionali all’attività di ricerca di competenza dell’Ateneo. Pertanto, in assenza della designazione della scuola quale responsabile del trattamento dei dati personali (art. 28 del Regolamento), e di una idonea base normativa che ne legittimasse il ruolo di autonomo titolare in concreto svolto, il trattamento di dati personali anche relativi alle particolari categorie, riferiti ai 18 alunni della classe III A della scuola primaria OMISSIS posto in essere dall’istituto scolastico per la realizzazione dell’iniziativa di ricerca scientifica, risulta essere stato effettuato in assenza di idonea base giuridica e quindi in violazione degli artt. 6 e 9 del Regolamento.
Si osserva, inoltre, anche alla luce del quadro normativo sopra richiamato, che contrariamente a quanto sostenuto dall’Istituto scolastico, i dati trattati, seppur oggetto di una qualche forma di pseudonimizzazione o codifica (tenuto conto della definizione di tale operazione di trattamento sopra richiamata), non possono essere considerati anonimi e quindi conservano la natura di dato personale. Ciò, in particolare, in base a quanto emerso dalla documentazione in atti, secondo cui “il criterio utilizzato dall’insegnante per la numerazione dei test ovvero l’attribuzione di un numero progressivo unitamente alla prima lettera del nome e del cognome di ciascun alunno, comunque non apposti dal personale dell’Università”. Si aggiunga, inoltre, da un lato, che il numero progressivo attributo a ciascun test sembrerebbe coincidere con la posizione dell’alunno nell’elenco della classe, conferendo allo stesso un ulteriore elemento semantico correlabile all’interessato, e, dall’altro, che i nominativi degli studenti sono comunque disponibili nei moduli di consenso firmati dai genitori e consegnati all’Istituto. Si evidenzia, inoltre, che i genitori stessi, nell’istanza di restituzione dei test compilati da ciascun minore, sono stati in grado di indicare il codice ad essi assegnato composto dal numero progressivo corrispondente alla posizione dell’alunno nell’elenco della classe e dalle iniziali del nome e del cognome.
Atteso che la codifica dei test non era tale da escludere la re-identificabilità degli-interessati, e che materialmente i test erano detenuti alla scuola, si rileva quindi che l’Istituto ha erroneamente negato la restituzione dei test contenenti dati personali, seppur pseudonimizzati, relativi ai minori coinvolti nell’iniziativa, sul falso presupposto dalla natura anonima degli stessi, in violazione dell’art. 15 del Regolamento. Gli interessati godono del diritto di accesso anche in relazione alle informazioni che li riguardano detenute in forma pseudonimizzata (cfr. Linee guida 01/2022 sul diritto di accesso del Comitato europeo per la protezione dei dati del 28 marzo 2023).
Con riferimento alle richiamate violazioni va tuttavia evidenziato, in primo luogo, che le operazioni di trattamento svolte in assenza di idoneo presupposto giuridico, relative ad un numero estremamente esiguo di interessati, sono consistite unicamente nella raccolta e conservazione, dei dati senza che nessuno del personale scolastico vi abbia avuto accesso diretto (salvo l’accesso da parte del dirigente scolastico limitatamente ai dati codificati per verificarne in termini empirici l’attitudine a re-indentificare gli interessati) e, in secondo luogo, che le informazioni trattate risultavano oggetto di una misura di pseudonimizzazione.
5 Conclusioni
Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dall’istituto scolastico nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ seppure meritevoli di considerazione, non consentono di superare totalmente i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.
Si confermano, pertanto, le valutazioni preliminari dell’Ufficio nella parte in cui si rileva l’illiceità del trattamento di dati personali effettuato dall’istituto scolastico in assenza di idonea condizione di liceità e l’illiceità del denegato accesso ai dati personali contenuti nei test somministrati agli alunni della classe 3°, sez. A, in violazione degli artt. 6, 9 e 15 del Regolamento.
Ciò premesso, tenuto conto che:
- il soggetto coinvolto è un istituto scolastico pubblico (scuola elementare);
- il trattamento è consistito unicamente nella raccolta e conservazione dei test senza accesso diretto al loro contenuto;
- la mancata restituzione dei test ai genitori degli alunni che ne hanno fatto richiesta è stata determinata da un errore da parte dell’Istituto scolastico, dovuto alla convinzione che i test fossero anonimi;
- la violazione ha riguardato un esiguo numero di alunni e risulta essere stato un caso isolato;
- l’Istituto ha disposto prontamente la secretazione del plico e la sua custodia all'interno della cassaforte della Scuola ritenendo in buona fede di porre in essere misure idonee ad evitare la divulgazione dei dati trattati nei questionari;
- il plico contenente i test somministrati agli alunni è stato sequestrato dagli ispettori del Ministero dell’istruzione;
- l’istituto scolastico ha prestato piena collaborazione all’Autorità nel corso dell’istruttoria;
- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento che siano analoghe rispetto al caso di specie;
- la vicenda ha avuto luogo pochi mesi dopo l’entrata in vigore della rinnovata disciplina prevista dal Regolamento in materia di protezione dei dati personali;
- le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del cons. 148 del Regolamento e delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’”Endorsement 1/2018” del 25 maggio 2018.
Alla luce di tutto quanto sopra rappresentato, e dei termini complessivi della vicenda in esame, si ritiene, pertanto, sufficiente ammonire il titolare del trattamento per la violazione delle disposizioni sopraindicate, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento (cfr. anche cons. 148 del Regolamento).
In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, in quanto il trattamento non è allo stato in corso e i dati personali contenuti nella modulistica somministrata agli alunni sono stati acquisiti in custodia dal Ministero in data. XX, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.
Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019.
TUTTO CIÒ PREMESSO IL GARANTE
a) dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento dei dati personali effettuato dall’Istituto Comprensivo di OMISSIS in persona del legale rappresentante pro tempore, con sede legale in Via OMISSIS - CF OMISSIS per violazione degli artt. 6, 9 e 15 del Regolamento;
b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce l’Istituto, quale titolare del trattamento in questione, per aver violato gli artt. 6, 9 e 15 del Regolamento;
c) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.
Roma, 7 marzo 2024
IL PRESIDENTE
Stanzione
IL RELATORE
Scorza
IL SEGRETARIO GENERALE
Mattei
Vedi anche (1) Provvedimento del 7 marzo 2024
KEYWORDS
#privacy e trattamento dei dati personali
Pagina: 69
O.M. 12 marzo 2026, n. 44
KEYWORDS
Pagina: 22
Circolare 16 marzo 2026, n. 28
KEYWORDS
Pagina: 34
O.M. 12 marzo 2026, n. 43
KEYWORDS
Pagina: 2
KEYWORDS
Pagina: 84
KEYWORDS
Pagina: 1182
INFORTUNIO IN ITINERE Con l’art. 12 del D.Lgs. n. 38/2000 è stata introdotta, sulla scorta di un...
KEYWORDS
Pagina: 2
D.Lgs. 12 giugno 2025, n. 99
KEYWORDS
Comunicazione del MIM relativa alla continuità dei docenti a tempo determinato su posto di sostegno
Il MIM, con la Circolare prot. n. 7766 del 26 marzo 2026, ha fornito le indicazioni in merito alla continuità didattica sui posti di sostegno per l’A.S. 2026/2027.
KEYWORDS
Pagina: 24
Vademecum 12 novembre 2025 (Doc. web n. 10190259)
KEYWORDS
Pagina: 675
Valutazione dei servizi ai fini pensionistici Nel richiamare quanto già e...
KEYWORDS
Pagina: 409
Tutela della maternità e della paternità (D.Lgs. n. 151/2001 - CCNL 29/11/2007) ...
KEYWORDS
Pagina: 35
Circolare 28 ottobre 2025, n. 139 - Messaggio 31 ottobre 2025 n. 3289
KEYWORDS
Pagina: 2
Linee guida agosto 2025
KEYWORDS
Pagina: 2
O.M. 16 febbraio 2026, n. 27
KEYWORDS
Pagina: 2
Note 17 dicembre 2025, n. 100847 e 18 dicembre 2025, n. 8069
KEYWORDS
Pagina: 44
Circolare 30 settembre 2025, n. 130
KEYWORDS
Pagina: 1039
Contratti e appalti pubblici Le soglie comunitarie utili ai fini dell'af...
KEYWORDS
Pagina: 69
Assegno unico universale (Legge 1° aprile 2021, n. 46 - D.Lgs. 21 dicembre 2021, n. 230 - Cir...
KEYWORDS
Pagina: 502
Tutela della disabilità La normativa di riferimento è rappresentata d...
KEYWORDS
Pagina: 21
KEYWORDS
Area Tematica: Alunni, alunni portatori di disabilità
Argomenti:
Alunni/assenze: collettive
KEYWORDS
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella COOKIE POLICY.
Gentile utente, se vede questo messaggio è possibile che ci sia un problema con l'account che sta utilizzando per accedere a Italiascuola.it.
Per verificare che il suo utente sia abilitato, selezioni l'icona del profilo in alto a destra. L'account sul quale cliccare presenterà l'icona "ITLS" sulla sinistra.
Se l'icona "ITLS" non è presente, significa che il suo utente non è abilitato. Se desidera abbonarsi oppure richiedere il nostro supporto, visiti la sezione "Abbonamenti e Contatti" presente sul sito. Grazie!
