Email interna con condanna penale: come applicare il principio di minimizzazione GDPR nelle scuole

Il 26 febbraio 2026 il Garante privacy ha sanzionato una PA che ha inviato un’email a oltre cento dipendenti con riferimenti a una condanna penale.
Il nodo è il principio di minimizzazione GDPR (richiamato dall’articolo 5 GDPR), che impone dati adeguati e limitati allo stretto necessario.
Per le scuole, ogni comunicazione su personale va costruita sulla finalità organizzativa, non sulla “trasparenza” interna.
Se includi dati giudiziari non indispensabili, aumenti il rischio di trattamento illecito e sanzioni (caso: 5.000 euro).

Nel caso di un Conservatorio, la PA ha comunicato la destituzione di un dirigente amministrativo a una platea molto ampia.
La mail indicava che la decisione derivava da una condanna con interdizione dai pubblici uffici.
Il Garante ha ammesso l’esigenza di informare la cessazione dell’incarico. Ha invece contestato la condivisione della causa giudiziaria e la diffusione a oltre cento destinatari.

• Comunica solo ciò che serve per gestire l’assetto organizzativo e gli incarichi.
• Omessi dettagli penali: condanna e interdizione vanno esclusi se non necessari.
• Riduci la platea a chi ha un reale ruolo operativo e “necessità di conoscere”.
• Verifica la base giuridica: niente trattamento “per comodità” o “per informare”.

Esito del provvedimento: illecito e sanzione amministrativa di 5.000 euro. La violazione è stata valutata come medio-bassa e la condotta come colposa, ma l’impatto economico resta.

La regola non riguarda solo la pubblicazione esterna. Riguarda anche la condivisione interna, se la mail contiene informazioni personali sensibili.
Il rischio cresce con i dati giudiziari (condanne e interdizioni dai pubblici uffici).
Il punto chiave resta la minimizzazione GDPR: niente più dati del necessario e niente destinatari “di contorno”.
Nelle scuole, DS e segreteria devono applicare lo stesso criterio in ogni comunicazione sul personale.

Prima di scrivere la mail, definisci lo scopo. In ambito scolastico di solito è organizzare: sostituzioni, coperture, passaggi di consegne.
Se lo scopo non richiede la causa penale, la causa va tenuta fuori dal testo.

Il principio di minimizzazione GDPR vale anche per “quanto” e “a chi” arriva l’informazione. Con più destinatari, aumenta la probabilità di accesso e di diffusione indiretta.

• Definisci la finalità: scrivi a cosa serve la comunicazione e collega la mail all’atto amministrativo.
• Seleziona i dati: inserisci solo decorrenza e cambi organizzativi, senza motivazioni.
• Evita dati giudiziari nelle comunicazioni interne: condanne e interdizioni si omettono salvo necessità prevista da norma.
• Limita i destinatari: invia a chi deve agire sul procedimento o garantire la continuità del servizio.
• Verifica base giuridica privacy nella PA: se non è “coperto” dallo specifico fondamento, non trattare quel dato.
• Traccia e controlla l’accesso: conserva motivazione e bozza, limita allegati e invii multipli.

Quando serve comunicare un cambio operativo, usa formulazioni neutre. Esempio pratico:

• Testo da usare: “Variazione organizzativa: cessazione dell’incarico e nuovo referente dal …”
• Testo da evitare: “Destituzione per condanna e interdizione dai pubblici uffici …”

Se la comunicazione supera questi confini, il trattamento può diventare illecito. Anche senza pubblicazione fuori ente.
Nel caso del 26 febbraio 2026 la sanzione è stata di 5.000 euro e il Garante ha considerato la violazione comunque censurabile.

Prima di inviare una mail su provvedimenti verso il personale, sottoponi la bozza al DPO o all’ufficio privacy interno. Se emergono dati giudiziari, sposta l’informazione su canali riservati e invia solo ai destinatari strettamente necessari.