Anche un "mero errore materiale" nella gestione dei file online, in assenza di una corretta governance data dalla presenza dell'RPD (Responsabile della Protezione Dati), può portare a sanzioni significative per la violazione dei principi di liceità e trasparenza previsti dal GDPR. La protezione dei dati, in particolare dei minori, è un obbligo inderogabile.
Il Garante Privacy ha emesso un provvedimento sanzionatorio (n. 626 del 23/10/2025) nei confronti dell’Istituto d’Istruzione Superiore, imponendo una multa complessiva di 4.000 euro per due distinte violazioni relative al trattamento illecito di dati personali e alla tardiva designazione del Responsabile della Protezione dei Dati (RPD).
Il procedimento ha avuto origine da un reclamo presentato da due genitori. L'Istituto aveva pubblicato sul proprio sito web istituzionale una nota relativa alla convocazione di un consiglio di classe straordinario riguardante un procedimento disciplinare a carico del loro figlio.
Sebbene la circolare interna non contenesse il nominativo dello studente, la violazione si è concretizzata perché il cognome dell’alunno compariva nella denominazione del documento (il file PDF) consultabile online nella pagina "Elenco Circolari di Istituto".
L'Istituto ha riconosciuto che la pubblicazione del nome è stata un "grave errore materiale". Il file è rimasto visibile per un arco temporale limitato ed è stato rimosso immediatamente dopo aver ricevuto la diffida legale.
Il Garante ha sottolineato che tale diffusione di informazioni personali, in assenza di un idoneo presupposto normativo, costituisce un trattamento illecito di dati personali, in violazione degli articoli 5 e 6 del Regolamento (UE) 2016/679 (GDPR) e dell'articolo 2-ter del Codice Privacy. L'Autorità ha inoltre rammentato che i minori, in ragione della loro particolare vulnerabilità, meritano una specifica protezione.
Mancanza del Responsabile della Protezione Dati (RPD)
Oltre alla violazione di privacy legata alla pubblicazione, l’Istituto è stato sanzionato per non aver designato un Responsabile della Protezione dei Dati (RPD). Il Garante ha rilevato che, essendo un’autorità pubblica, l’Istituto aveva l'obbligo sistematico di designare tale figura, ai sensi dell’art. 37, par. 1 del Regolamento, e di comunicare i relativi dati di contatto all’Autorità.
L'Istituto ha provveduto a nominare l'RPD e a comunicare i dati all'Autorità solo in data XX, ovvero successivamente all’avvio del procedimento.
La sanzione
Il Garante ha deciso di irrogare una sanzione amministrativa pecuniaria complessiva di 4.000 euro, quantificata in:
- 2.000 euro per l’illiceità del trattamento dei dati personali dello studente.
- 2.000 euro per la violazione relativa alla tardiva nomina e comunicazione del RPD.
Nella determinazione dell'importo, il Garante ha tenuto conto delle circostanze attenuanti, come il fatto che l’Istituto sia un soggetto di ridotte dimensioni con limitate risorse economiche, la pronta rimozione del documento e la natura colposa dell'errore (solo il cognome era presente nell'oggetto del file, non nella circolare). Non sono state riscontrate precedenti violazioni pertinenti.
L’Istituto ha facoltà di definire la controversia pagando un importo pari alla metà della sanzione (2.000 euro) entro 30 giorni. Inoltre, il Garante ha disposto la pubblicazione dell’ordinanza ingiunzione sul proprio sito web, data la natura della violazione che ha coinvolto i dati personali di un minore.
