Docente pubblica per errore dati riservati di un alunno: il Garante privacy interviene

Un errore umano porta alla violazione dei dati: ammonizione formale all’istituto

Un episodio di violazione della privacy ha recentemente scosso una scuola internazionale italiana, portando l’attenzione su un tema tanto delicato quanto attuale: la protezione dei dati personali dei minori.

Tutto è iniziato con il reclamo di una madre, assistita da un legale, al Garante per la protezione dei dati personali. Il motivo? Due messaggi inviati da una docente tramite la piattaforma SeeSaw, contenenti informazioni personali riguardanti suo figlio, sono stati accidentalmente pubblicati in un’area visibile a tutti i genitori della classe e al personale scolastico, anziché restare in una sezione privata come previsto.

Secondo quanto riportato nel provvedimento del Garante del 27 marzo, uno dei due messaggi aveva un contenuto particolarmente sensibile. Sebbene l'insegnante si sia accorta rapidamente dell’errore e abbia provveduto a rimuovere i messaggi — il primo è rimasto online per 18 minuti, il secondo solo per un minuto — il danno era ormai fatto.

Le misure adottate dalla scuola

La Data Protection Officer (DPO) dell’istituto ha confermato che i messaggi erano accessibili a una platea ristretta, ma non autorizzata. Come risposta immediata all’accaduto, l’istituto ha organizzato una sessione formativa interna, coinvolgendo tutto il personale scolastico sul tema della gestione dei data breach e delle corrette pratiche di trattamento dei dati personali.

Una mossa importante che testimonia la volontà di prevenire futuri incidenti, ma che non è bastata a evitare l'intervento del Garante.

Cosa dice la normativa

Il Regolamento europeo sulla protezione dei dati personali (GDPR) è chiaro: le istituzioni scolastiche possono trattare dati personali solo quando esiste un obbligo legale o un interesse pubblico, e sempre rispettando principi come liceità, correttezza e trasparenza.

Nel caso in questione, la comunicazione involontaria di dati sensibili è stata giudicata priva di idoneo presupposto giuridico. Secondo il Garante, l’istituto ha violato specifici articoli del GDPR — in particolare l’art. 5, par. 1, lett. a) e l’art. 6 — oltre agli articoli 2 e 3 del Codice in materia di protezione dei dati personali.

Un errore “contenuto” ma significativo

Pur trattandosi di una “violazione minore” — vista la limitata platea dei destinatari, la brevissima esposizione temporale, le pronte scuse dell’insegnante e la collaborazione dimostrata — l’illecito è stato formalmente sanzionato.

Il Garante ha infatti dichiarato l’illiceità del trattamento e ha emesso un’ammonizione nei confronti dell’istituto scolastico, titolare del trattamento. Nessuna ulteriore sanzione è stata applicata, poiché la violazione non ha prodotto effetti duraturi o danni rilevanti.

Conclusioni

Questo episodio dimostra ancora una volta quanto sia cruciale una gestione attenta e consapevole dei dati personali, soprattutto quando riguarda minori. Le scuole, anche quelle più attente, non possono permettersi leggerezze nell’uso delle tecnologie digitali.

Un piccolo errore può avere conseguenze importanti, richiamando la necessità di formazione continua e di una cultura della privacy solida e condivisa. Un insegnamento valido non solo per gli istituti scolastici, ma per qualsiasi realtà che quotidianamente gestisce dati sensibili.

(Orizzontescuola)

Vuoi restare sempre aggiornato con le notizie più importanti? Iscriviti al nostro canale WhatsApp InfoOggi e ricevi in tempo reale gli aggiornamenti direttamente sul tuo smartphone! Clicca qui per unirti