Durante un’assemblea d’istituto, una scuola è stata sanzionata dal Garante per la diffusione di dati sensibili relativi a una studentessa con DSA. Il provvedimento n. 160, datato 12 marzo 2026, evidenzia una gestione inadeguata dei documenti contenenti dati personali. L’episodio, seppur circoscritto, è stato considerato illecito trattamento. L’analisi seguente aiuta docenti, ATA e dirigenti a comprendere le implicazioni pratiche e a definire azioni concrete per prevenire simili errori.
Come evitare la diffusione di dati sensibili: lezioni dalla sanzione di 2.000 euro
La diffusione è avvenuta attraverso fogli stampati contenenti dati identificabili. La tabella che segue sintetizza i fatti principali e fornisce riferimenti utili a docenti e dirigenti per prevenire incidenti simili.
| Area | Dettaglio | Riferimenti |
|---|---|---|
| Provvedimento | Provvedimento n. 160 del 12 marzo 2026 | Garante per la protezione dei dati personali |
| Contesto | Assemblea d’istituto | Diffusione di documenti contenenti dati personali |
| Dati interessati | Nome e cognome della studentessa + Disturbi Specifici di Apprendimento (DSA) | Dati sensibili |
| Titolare | Istituto scolastico | Responsabilità anche per comportamenti del personale |
| Importo Sanzione | 2.000 euro | Regolamento GDPR |
| Esito | Indagini interne, collaborazione dell’istituto | Misure correttive necessarie |
Nonostante la portata limitata, la situazione evidenzia l’importanza di controlli rigorosi su documenti e mezzi per la gestione dei dati. Per docenti e dirigenti, la lezione è chiara: definire ruoli, tracciare provenienze e implementare misure di sicurezza tecnica e organizzativa è essenziale per proteggere gli studenti e rispettare il GDPR.
Ambiti di applicazione e rischi concreti
Il caso riguarda dati sanitari legati allo stato di salute e associati a uno studente con DSA. Esso dimostra che una diffusione, anche limitata, rientra tra il trattamento di dati personali e che la gestione di materiali stampati deve essere eseguita con controlli adeguati.
I limiti pratici si riferiscono a cosa è considerato 'numero definito di soggetti' e alle misure che il contesto scolastico deve adottare per evitare ulteriori diffusioni. Le scuole devono prevedere politiche chiare di gestione documentale e formazione del personale su GDPR e buone pratiche.
Checklist Operativa: come mettere in regola la gestione dati in aula
- Identificare ruoli e responsabilità del trattamento e definire chi è titolare, chi è responsabile e chi è incaricato.
- Limitare accessi e dati solo al personale autorizzato e utilizzare meccanismi di password e controllo accessi.
- Formare il personale su GDPR e buone pratiche; docenti e ATA.
- Verificare provenienza documenti e garantire tracciabilità di origine e stampante.
- Ridurre rischi stampati minimizzare l’uso di fogli contenenti dati e preferire versioni digitali protette.
Interventi immediati consigliati
- Contatta DPO entro 30 giorni per una verifica delle prassi di trattamento e adeguamento delle misure di sicurezza.
- Aggiorna procedure di gestione dati e definisci flussi di accesso essenziali per docenti e ATA.
- Format a sessione di sensibilizzazione sul tema della protezione dati per tutto il personale entro 60 giorni.
- Verifica provenienza documenti stampati e implementa log di stampa per tracciare cause e responsabili.
FAQs
DSA e dati sensibili in assemblea: la scuola sanzionata dal Garante con 2.000 euro
Il Garante ha sanzionato la scuola per illecito trattamento di dati personali. L’episodio riguarda la diffusione di fogli stampati contenenti dati identificabili di una studentessa con DSA durante l’assemblea d’istituto. Il provvedimento n. 160 del 12/03/2026 stabilisce la sanzione di 2.000 euro.
Si trattava di dati identificabili (nome e cognome) della studentessa con DSA, inclusi indicatori sensibili. Tale diffusione viola il GDPR e espone a sanzioni, oltre a mettere a rischio la privacy degli studenti e la reputazione della scuola.
Introdurre una gestione documentale chiara e formazione su GDPR per docenti e personale ATA. Definire ruoli (titolare, responsabile, incaricato) e limitare l’accesso ai soli autorizzati, con controlli di provenienza e tracciabilità.
Contatta il DPO entro 30 giorni per verificare le prassi e adeguarle. Aggiorna le procedure di gestione dati entro 60 giorni e organizza una sessione di sensibilizzazione entro lo stesso termine. Implementa log di stampa per tracciare provenienza e responsabilità.
