[doc. web n. 10184924]

Provvedimento del 25 settembre 2025

Registro dei provvedimenti
n. 529 del 25 settembre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Angelo Fanizza, Segretario Generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione deidati personali, doc. web n. 1098801;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Il reclamo.

Con reclamo presentato all’Autorità, il sig. XX ha lamentato che un’insegnate avrebbe pubblicato sull’applicativo Classroom utilizzato nella classe della figlia, iscritta all’Istituto Comprensivo San Benigno Canavese (TO) (di seguito “l’Istituto”), un “post” accessibile ad alunni e relativi genitori contenente informazioni riguardanti le vicende personali e familiari del reclamante e dell’alunna relative, in particolare, alla separazione in corso tra i genitori della minore e al suo stato emotivo.

2. L’attività istruttoria.

Con nota del XX (prot. n. XX), alla quale si rinvia integralmente, rispondendo alla richiesta di informazioni formulata dall’Autorità, la dirigente scolastica dell’Istituto ha rappresentato, in particolare, che:

- “in data XX alle ore XX la docente […] pubblicava su piattaforma Google workspace, su applicativo Classroom, visibile alle famiglie il post […] la piattaforma è abitualmente usata nella scuola, esistono due diverse “Classroom” per ogni classe, una aperta agli studenti, dove i docenti assegnano lavori e condividono materiali, una di comunicazione tra i docenti, che non prevede l’inserimento di dati particolari e/o giudiziari di alcun interessato”;

-  “La professoressa […] è pienamente consapevole di tale differenza, la sua preparazione tecnica è indiscussa, […] L’errore, cioè aver utilizzato la “classroom” visibile alle XX famiglie componenti la classe XX, è da considerarsi quindi puramente ‘materiale’ non dovuto a superficialità ma piuttosto ad una situazione personale poco serena all’epoca dei fatti. L’intenzione della docente era quella di condividere con i docenti della classe, su sollecitazione da parte della madre che aveva colloquiato con lei, la situazione familiare poco serena dell’alunna, elemento che avrebbe potuto avere rilevanza nei processi di apprendimento”;

- “Alle XX del XX vengo a conoscenza, tramite PEC inviata dal sig. XX alle ore XX del XX all’indirizzo della scuola, dell’accaduto. Immediatamente contatto la docente e il post viene rimosso entro le XX”.

Sulla base degli elementi acquisiti, l’Ufficio ha notificato, con nota del XX (prot. n. XX), all’Istituto, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, in quanto la messa a disposizione, sulla piattaforma Classroom, della nota contenente informazioni riguardanti le vicende personali e familiari del reclamante e dell’alunna ha dato luogo a una comunicazione illecita di dati personali a terzi in violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento e 2-ter del Codice.

Pertanto l’Ufficio ha invitato il predetto titolare a produrre scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

Con nota del XX (prot. n. XX) l’Istituto scolastico ha fatto pervenire le memorie difensive, alle quali si rinvia integralmente, rappresentando, in particolare, che:

- “La docente […] non era autorizzata a comunicare i dati incriminati nel contesto del trattamento per la DDI (trattamento per il quale viene coinvolta la piattaforma Classroom) […]”;

- “L’errore […] è da considerarsi quindi puramente ‘materiale’ non dovuto a superficialità ma a distrazione, in quanto la docente gestisce numerose classroom”.

3. Esito dell’attività istruttoria.

3.1.1 Normativa applicabile.

Ai sensi del Regolamento (UE) 2016/679 il trattamento di dati personali effettuato in ambito pubblico è lecito quando è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, paragrafo 1, lett. c) ed e) e paragrafo 2 e 3 del Regolamento; art 2-ter del d.lgs. n. 196 del 30 giugno 2003 - Codice in materia di protezione dei dati personali, di seguito, il “Codice”).

La base giuridica dei predetti trattamenti deve essere stabilita dal diritto dell’Unione o dello Stato membro, che deve perseguire “un obiettivo di interesse pubblico [e deve essere] proporzionato all'obiettivo” (art. 6, par. 3, del Regolamento).

In tale contesto, è sancito che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento).

Il Codice ha stabilito che “la base giuridica prevista dall’articolo 6, paragrafo 3, lettera b), del Regolamento è costituita da una norma di legge o di regolamento o da atti amministrativi generali” (art. 2-ter, comma 1).

In particolare, le operazioni di trattamento che consistono nella “diffusione” e “comunicazione” di dati personali sono ammesse solo quando previste da una norma di legge, regolamento o atti amministrativi generali (art. 2-ter, comma 3 del Codice).

Il titolare del trattamento è in ogni caso tenuto a rispettare i principi in materia di protezione dei dati, tra cui quello di “liceità, correttezza e trasparenza” in base al quale i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato (art. 5, par. 1, lett. a) del Regolamento).

3.2 Esito dell’attività istruttoria.

Alla luce dell’attività istruttoria, risulta che una docente dell’Istituto ha reso disponibile, sull’applicativo Classroom, accessibile a tutti i genitori degli alunni della classe di appartenenza della figlia del reclamante, una nota contenente informazioni riguardanti le vicende personali e familiari del reclamante e dell’alunna riguardanti, in particolare, la separazione in corso tra i genitori dell’alunna e lo stato emotivo della stessa.

Le predette informazioni sono state visibili sulla citata piattaforma, dalle ore XX del XX alle ore XX del giorno successivo, orario in cui la nota è stata rimossa.

In via preliminare, si rappresenta che ai sensi dell’art. 4 par. 1, n. 7, il “titolare del trattamento” è “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”

Le “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR” dell’EDPB del 7 luglio 2021, prevedono che “è solitamente l’organizzazione in quanto tale e non una persona fisica all’interno dell’organizzazione (come l’amministratore delegato, un dipendente o un membro del consiglio di amministrazione) ad agire in qualità di titolare del trattamento ai sensi del GDPR” (par. 17).

Al riguardo, anche nella sentenza della Corte di Giustizia del caso C-741/21, dell’11 aprile 2024, si è affermato che “un dipendente del titolare del trattamento è effettivamente una persona fisica che agisce sotto l’autorità di tale titolare. Pertanto, spetta a detto titolare assicurarsi che le sue istruzioni siano correttamente applicate dai propri dipendenti. Di conseguenza, il titolare del trattamento non può sottrarsi alla propria responsabilità ai sensi dell’articolo 82, paragrafo 3, del RGPD semplicemente invocando una negligenza o un inadempimento di una persona che agisce sotto la sua autorità”.

Pertanto, il titolare del trattamento è sempre la persona giuridica nel suo complesso, anche quando una violazione del Regolamento si sia verificata per negligenza o inadempimento di un autorizzato.

Si rappresenta inoltre che il Garante ha avuto modo di intervenire, in numerose occasioni, sul tema delle “comunicazioni scolastiche”. In tale ambito l’Autorità ha chiarito che “Il diritto–dovere di informare le famiglie sull’attività e sugli avvenimenti della vita scolastica deve essere sempre bilanciato con l’esigenza di tutelare la personalità dei minori. È quindi necessario evitare di inserire, nelle circolari e nelle comunicazioni scolastiche non rivolte a specifici destinatari, dati personali che rendano identificabili, ad es., gli alunni coinvolti in casi di bullismo o destinatari di provvedimenti disciplinari o interessati in altre vicende particolarmente delicate” (vedi, da ultimo, La scuola a prova di privacy - Vademecum ed. 2023, disponibile sul sito web del Garante: www.garanteprivacy.it, doc web n. 9886884, vedi anche le FAQ “Scuola e privacy - Domande più frequenti”, consultabili all’indirizzo FAQ - Scuola e privacy - Garante Privacy, in part. FAQ n. 7).

Da ultimo si rammenta che i minori, in considerazione della loro particolare “vulnerabilità”, meritano una specifica protezione in relazione ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze, nonché dei loro diritti in relazione al trattamento dei dati (cfr. cons. 38 del Regolamento).

Ciò premesso, sebbene la messa a disposizione della nota oggetto del reclamo sia avvenuta in un’area non accessibile a chiunque e non tale, quindi da determinare una diffusione di dati personali, la comunicazione dei dati ivi contenuti è avvenuta, ancorché per un errore materiale, comunque in favore di un novero determinato di soggetti non legittimati alla conoscibilità delle informazioni riguardanti il reclamante e l’alunna (cfr. la definizione di “comunicazione” di dati personali contenuta nell’art. 2-ter comma 4 lett. a), del Codice; v., altresì, provv. 27 novembre 2024, n. 728, doc. web n. 10097324; provv. 12 dicembre 2024, n. 767, doc. web n. 10099052 vedi al riguardo, provv. 27 marzo 2025, n.169, doc. web n. 10136982).

Alla luce delle considerazioni che precedono l’Istituto ha reso conoscibile in modo ingiustificato a soggetti terzi, dati personali riguardanti il reclamante e la propria figlia.

Per tali ragioni l’Istituto, ancorché a seguito di un mero errore, ha dato luogo, in assenza di idoneo presupposto di liceità, a una comunicazione illecita di dati personali a terzi in violazione degli artt. 5, par. 1, lett. a) e 6, parr. 1, lett. c) ed e), 2 e 3 del Regolamento e 2-ter, commi 1 e 3, del Codice.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ gli elementi forniti dal titolare del trattamento nelle memorie difensive, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Pertanto, si confermano le valutazioni preliminari dell'Ufficio e si rileva l'illiceità del trattamento di dati personali effettuato dall’Istituto, in violazione degli artt. 5, par. 1, lett. a) e 6, parr. 1, lett. c) ed e), 2 e 3 del Regolamento e 2-ter, commi 1 e 3, del Codice.

Ciò premesso, le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi dell’art. 83, par. 2, e del cons. 148 del Regolamento, nonché delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25 maggio 2018.

Ciò tenuto conto che:

- il titolare del trattamento è un istituto scolastico e, pertanto, un soggetto di ridotte dimensioni;

- l’evento si è verificato per un mero errore materiale, in quanto la docente intendeva condividere la nota solo con gli altri insegnanti, al fine di tutelare la minore, in quanto la situazione familiare di quest’ultima, avrebbe potuto influire nei processi di apprendimento con ricadute sul piano della valutazione della stessa;

-  la nota è rimasta a disposizione nella piattaforma per meno di 24 ore, in quanto l’insegnate, su indicazione del dirigente scolastico ha provveduto tempestivamente a cancellarli;

- la visibilità delle informazioni è stata limitata ai genitori degli alunni della classe della minore;

- il titolare del trattamento ha prestato piena collaborazione all’Autorità nel corso dell’istruttoria;

- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento.

Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, parr. 2 e 5, lett. a) del Regolamento, per avere violato gli artt. 5, par. 1, lett. a) e 6, parr. 1, lett. c) ed e), 2 e 3 del Regolamento e 2-ter, commi 1 e 3, del Codice.

Considerato che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

- ai sensi dell’art. 57, par. 1, lett. f), dichiara illecita la condotta tenuta dall’Istituto Comprensivo San Benigno Canavese, con sede in Corso Italia, 34, 10080 S. Benigno Canavese (TO) - Codice Fiscale: 92521270014, descritta nei termini di cui in motivazione, consistente nella violazione degli artt. 5, par. 1, lett. a) e 6, parr. 1, lett. c) ed e), 2 e 3 del Regolamento e 2-ter, commi 1 e 3, del Codice;

- ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce l’Istituto Comprensivo San Benigno Canavese, quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. a) e 6, parr. 1, lett. c) ed e), 2 e 3 del Regolamento e 2-ter, commi 1 e 3, del Codice;

DISPONE

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 25 settembre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE 
Fanizza