Le iniziali non bastano
Il Garante privacy sanziona un Istituto Comprensivo per aver pubblicato online un avviso di selezione docenti che, pur senza nome e cognome, rendeva identificabile un alunno minorenne e ne lasciava emergere lo stato di salute. Un errore-tipo che le scuole continuano a commettere: ecco cosa insegna il provvedimento e come non ripeterlo.
Con il provvedimento n. 307 del 29 aprile 2026 (doc-web n. 10251650), il Garante per la protezione dei dati personali ha inflitto una sanzione di 4.000 euro all'Istituto Comprensivo Statale di Montelibretti (RM). Sul piano dei principi non c'è nulla di nuovo: l'Autorità ribadisce posizioni consolidate da oltre un decennio. Ma proprio per questo il caso merita attenzione, perché fotografia un errore che si ripete con regolarità impressionante negli uffici di segreteria italiani.
Il fatto
Tutto nasce dal reclamo della madre di un alunno minorenne. Sul sito istituzionale della scuola, nella sezione pubblica "Novità/Le Circolari", era stata pubblicata — liberamente visibile e scaricabile — una circolare dal titolo "Avviso di selezione per il personale docente interno/esterno – Istruzione domiciliare a.s. …".
Il documento non conteneva il nome completo dello studente. Conteneva però tre informazioni che, combinate tra loro, bastavano a identificarlo:
le iniziali del nome e del cognome dell'alunno;
il riferimento alla "presenza di documentazione medica conservata agli atti";
l'indicazione che la selezione era rivolta in via prioritaria ai docenti della classe di appartenenza (una specifica classe della Scuola Primaria di Montelibretti).
Perché è una violazione
Il punto centrale non è la singola informazione, ma il loro insieme. L'istruzione domiciliare è per sua natura destinata a studenti impossibilitati a frequentare per ragioni di salute; aggiungere il riferimento alla documentazione medica e alla classe frequentata trasforma un anonimato solo apparente in una piena identificabilità.
Il Garante richiama qui un concetto chiave del GDPR: una persona è identificabile non solo quando se ne può recuperare il nome, ma anche indirettamente, tramite individuazione, correlazione e deduzione. In una comunità ristretta come una classe o un plesso, incrociare "quel compagno assente da settimane" con le iniziali e il riferimento sanitario è immediato.
Da qui il cuore giuridico del provvedimento:
Le sole iniziali non anonimizzano. L'Autorità ripete un principio già affermato nelle Linee guida del 2014: sostituire nome e cognome con le iniziali è di per sé insufficiente, tanto più quando permangono elementi di contesto che rendono comunque riconoscibile l'interessato.
I dati sulla salute non possono essere diffusi. Rientrano tra le categorie particolari (art. 9 GDPR) e godono di tutela rafforzata: l'art. 2-septies, comma 8, del Codice privacy ne vieta in linea di principio la diffusione. E per "dato sulla salute" non si intendono solo diagnosi e patologie, ma anche informazioni che rivelano indirettamente una condizione o la fruizione di prestazioni sanitarie — come, appunto, l'attivazione dell'istruzione domiciliare.
Manca la base giuridica. La scuola è un soggetto pubblico e può trattare dati solo per adempiere un obbligo di legge o eseguire un compito di interesse pubblico (art. 6, par. 1, lett. c ed e). La diffusione sul web di dati identificativi di un alunno non è necessaria a quel compito: nessuna norma la impone, e quindi la base giuridica non c'è.
Il minore è soggetto vulnerabile. Il GDPR (considerando 38) riconosce ai minori una protezione specifica, e questo pesa in ogni valutazione.
Le violazioni contestate riguardano, in sintesi, gli artt. 5, 6 e 9 del Regolamento e gli artt. 2-ter, 2-sexies e 2-septies del Codice privacy.
Le difese della scuola (e perché non hanno retto)
L'Istituto si è difeso in buona fede, con argomenti che è utile conoscere proprio perché sembrano ragionevoli:
di aver minimizzato i dati, usando solo le iniziali;
di aver indicato la classe per trasparenza del procedimento e per rispettare le linee guida ministeriali, che assegnano la priorità ai docenti della classe dell'alunno;
di aver commesso un mero errore materiale, in un contesto di forte criticità organizzativa (continuo avvicendamento di dirigenti e personale amministrativo).
Il Garante non ha messo in dubbio la buona fede, ma ha respinto la logica di fondo: la trasparenza amministrativa e le esigenze organizzative non autorizzano a diffondere dati sanitari o elementi che rendono identificabile un minore. La priorità ai docenti di classe si poteva garantire con una comunicazione interna riservata al personale, senza esporre nulla sul sito pubblico.
La sanzione
La violazione è stata classificata di gravità media. Il Garante ha bilanciato:
elementi aggravanti: coinvolgimento di un minore e diffusione di categorie particolari di dati;
attenuanti: la circolare è stata rimossa (diffusione di durata ridotta), non risultano precedenti violazioni, la scuola ha cooperato e si è impegnata a rafforzare le misure organizzative interne.
Ne è derivata una sanzione di 4.000 euro, a fronte di un massimo edittale ben più alto. La scuola può avvalersi della definizione agevolata: pagando entro 30 giorni un importo pari alla metà (2.000 euro).
Attenzione, però: alla sanzione economica si aggiunge la pubblicazione del provvedimento sul sito del Garante, con il nome della scuola. Per una piccola comunità, il costo reputazionale può pesare più dei 4.000 euro.
Lezioni operative: cosa fare (per ruolo)
Il valore di questo provvedimento è tutto qui. Ecco cosa cambia concretamente nel lavoro di ciascuno.
Per il Dirigente Scolastico (titolare del trattamento)
Ricordare che la responsabilità del trattamento resta in capo all'istituzione: buona fede e carenze organiche attenuano, ma non escludono.
Definire una procedura scritta di controllo preventivo per tutto ciò che va sul sito istituzionale.
Coinvolgere il DPO in via preventiva — non dopo la contestazione — ogni volta che una comunicazione tocca situazioni delicate: istruzione domiciliare, sostegno, BES/DSA, GLO, casi disciplinari, infortuni, certificazioni mediche.
Per il DSGA / Direttore dei servizi amministrativi
Presidiare il flusso "chi redige → chi pubblica": introdurre una doppia lettura con soggetti diversi che validano insieme l'idoneità alla pubblicazione. La sanzione di Montelibretti nasce proprio dal tipo di svista che questa doppia firma intercetta.
Verificare che ogni nuova tipologia di pubblicazione sul sito che coinvolga dati di studenti sia censita nel Registro dei trattamenti (art. 30 GDPR).
Per gli addetti di segreteria (chi materialmente redige e pubblica)
Le iniziali non bastano. Prima di pubblicare, chiedersi: "chi legge questo documento, incrociandolo con ciò che già sa, può risalire a uno studente specifico?" In una classe la risposta è quasi sempre sì.
Mai riferimenti sanitari, neppure indiretti: "documentazione medica agli atti", "istruzione domiciliare riferita a…", "esonero per motivi di salute" sono tutti elementi che rivelano lo stato di salute.
Redigere avvisi e circolari pubbliche in forma neutra: niente nomi, iniziali, classi, sezioni, patologie o riferimenti a documentazione medica. I dati identificativi restano nel canale interno riservato al personale coinvolto.
Nel dubbio, non pubblicare e chiedere: una mail al referente privacy o al DPO costa pochi minuti; il provvedimento costa migliaia di euro e la pubblicazione sul sito del Garante.
Per i docenti
Applicare la stessa logica a comunicazioni scuola-famiglia, e-mail di classe e materiali condivisi: evitare messaggi a più destinatari da cui emergano informazioni specifiche su singoli alunni.
Segnalare tempestivamente al referente/DPO ogni situazione dubbia: la consapevolezza diffusa è la prima misura di sicurezza.
In sintesi
Il provvedimento n. 307/2026 non introduce regole nuove: mette a fuoco un errore antico e ricorrente, cioè confondere l'anonimizzazione con la sostituzione del nome con le iniziali, sottovalutando il rischio di re-identificazione in contesti ristretti come la scuola. La pubblicità degli atti e la trasparenza sono valori reali, ma non prevalgono mai sulla tutela dei dati sanitari di un minore. La regola operativa è semplice: sul sito solo l'indispensabile, tutto ciò che identifica resta all'interno.
Fonte: Garante per la protezione dei dati personali, provvedimento n. 307 del 29 aprile 2026 (doc-web n. 10251650).
A cura del DPO Dott. Mario Padroni – S&L S.r.l. – dpo@sicurezzaoggi.com