Le scuole debbono prestare particolare attenzione nella pubblicazione e diffusione dei dati personali, non solo dei lavoratori, ma anche degli alunni, spesso minorenni.
E questo vale anche per le comunicazioni scuola-famiglia, all’interno delle quali non possono essere inseriti dati personali degli alunni.
Il Garante per la protezione dei dati personali ha in proposito chiarito che nelle circolari, nelle delibere o in altre comunicazioni non rivolte a specifici destinatari non possono essere inseriti dati personali che rendano identificabili gli alunni.
È il caso, ad esempio, di bambini o ragazzi coinvolti in casi di bullismo o quelli cui siano state comminate sanzioni disciplinari o ancora coloro che sono interessati da altre vicende delicate.
L’Autorità ha in proposito chiarito che il diritto–dovere di informare le famiglie sull’attività e sugli avvenimenti della vita scolastica deve essere sempre bilanciato con l’esigenza di tutelare la personalità dei minori.
Secondo la normativa vigente, infatti, la diffusione di dati personali deve essere giustificata da un obbligo legale o dall’esercizio di un compito di interesse pubblico. Il Regolamento UE sulla protezione dei dati personali (GDPR) stabilisce che il trattamento dei dati personali deve rispettare il principio di liceità, correttezza e trasparenza.
Comunicazione di dati sanitari
Sempre in merito all’inserimento di dati personali di studenti all’interno di comunicazioni scuola-famiglia, il Garante ha recentemente dichiarato illecita la divulgazione, da parte di una docente di un Liceo, dei dati sensibili relativi alla salute di uno studente che era risultato positivo al Covid-19 (Provvedimento n. 403 del 4 luglio 2024).
L’insegnante, a seguito del risultato del tampone effettuato presso l’ASL, aveva inviato una comunicazione ai compagni di classe e ai genitori informandoli dello stato di positività del ragazzo, allegando il provvedimento emesso dalla ASL. Questo ha dato luogo a una divulgazione non autorizzata di dati personali.
I genitori dello studente hanno pertanto presentato reclamo al Garante.
Nel caso specifico, la comunicazione inviata dall’Istituto, contenente dati sanitari relativi alla positività al Covid-19 del ragazzo, rientra tra i trattamenti di dati personali relativi alla salute (art. 4, par. 1, n. 15 del Regolamento). Sebbene non si tratti di una diffusione a soggetti esterni alla comunità scolastica, la comunicazione è stata considerata illecita poiché ha reso conoscibili i dati sensibili ad un numero determinabile di persone (i genitori degli altri studenti della classe) senza una base giuridica adeguata.
L’Autorità ha riconosciuto che, nonostante la violazione, la condotta dell’Istituto ha riguardato un solo caso isolato in un contesto di difficoltà organizzative legate all’emergenza Covid-19. Inoltre, l’Istituto ha collaborato pienamente e ha adottato misure correttive per sensibilizzare il personale sull’importanza della protezione dei dati personali.
Pertanto, tenendo conto delle circostanze attenuanti, come la natura isolata del caso, la mancanza di precedenti violazioni e la collaborazione dell’Istituto, l’Autorità ha deciso di emettere un ammonimento ai sensi dell’art. 58 del Regolamento. Non sono state adottate ulteriori misure correttive, poiché l’Istituto ha già messo in atto azioni preventive per evitare futuri incidenti simili.
