Un genitore ha presentato reclamo al Garante per la Protezione dei Dati Personali contro il Liceo Artistico XXX, accusando l’Istituto di aver reso accessibile a tutti i genitori della classe, tramite la bacheca del registro elettronico, una convocazione del GLO (Gruppo di Lavoro per l’Inclusione scolastica) relativa alla figlia, contenente dati personali e un riferimento al PEI (Piano Educativo Individualizzato), quindi dati sanitari.
I fatti
L’errore è stato causato da un clic errato dell’assistente amministrativa, che ha selezionato “tutti i genitori” invece dei soli interessati.
Il documento è stato visibile per circa 24 ore, prima della rimozione tempestiva da parte dell’Istituto, una volta ricevuta la segnalazione.
L’Istituto ha notificato l’incidente al Garante e ha collaborato pienamente, adottando misure correttive come:
- coinvolgimento del DPO
- aggiornamento del registro delle violazioni
- nuova formazione del personale
- modifica della procedura di convocazione GLO (ora tramite e-mail mirata).
Valutazione del Garante
Seoncdo il Garante, si è trattato di una comunicazione illecita di dati personali, anche sensibili (dati sanitari), senza idoneo presupposto di liceità. L’Istituto ha infatti violato gli artt. 5, 6 e 9 del GDPR, nonché le disposizioni italiane (artt. 2-ter e 2-sexies del Codice privacy).
Inoltre, non è stata accettata la giustificazione che tali informazioni fossero “già note” all’ambiente scolastico.
Esito finale
Pur riconoscendo la collaborazione dell’Istituto, la natura colposa dell’errore e l’assenza di precedenti, il Garante ha dichiarato il trattamento illecito ed emesso un ammonimento formale nei confronti dell’Istituto (senza sanzioni pecuniarie), ritenendo il caso una “violazione minore” ai sensi del GDPR.
In conclusione, si tratta di un errore materiale con effetti limitati, ma comunque sanzionato formalmente per l’illiceità del trattamento dei dati personali.