Questo articolo è stato pubblicato anche sulla testata specializzata “Agenda Digitale” in data 01 agosto 2025: https://www.agendadigitale.eu/scuola-digitale/privacy-a-scuola-come-tutelare-i-dati-dei-minori-le-azioni-concrete/

Le scuole devono rafforzare le misure per garantire la protezione dei dati dei minori, a partire dalla formazione del personale e dalla gestione corretta dei documenti digitali.

La maggior parte delle violazioni privacy è causata da un errore umano, compiuto per semplice distrazione o per scarsa competenza, da un dipendente.

Ciò avviene anche nelle scuole.

L’Autorità Garante per la Protezione dei Dati Personali ha infatti recentemente ammonito un istituto scolastico per una leggerezza commessa da un docente che ha condiviso un documento riservato di uno studente con il gruppo classe, esponendo dei dati sensibili.

Il tutto è nato da un errore ma le conseguenze sono state pesanti e hanno comportato la pubblicazione, seppur per un tempo breve, del Piano Educativo Individualizzato (PEI) sul registro elettronico, visibile all’intera classe.

Questo episodio non è un caso isolato, ma un monito severo che ci costringe a riflettere sulla fragilità della gestione dei documenti in modalità digitale, soprattutto quando si tratta dei documenti dei minori, i soggetti più vulnerabili.

Tutelare la privacy a scuola: tra piattaforme e genitori

Viviamo in un’epoca in cui la digitalizzazione avanza a passi da gigante, e la scuola non fa eccezione. Registri elettronici, piattaforme didattiche, comunicazioni online: strumenti che, se da un lato semplificano la gestione e la didattica, dall’altro aprono voragini inaspettate in termini di sicurezza dei dati.

Il caso specifico del PEI divulgato per errore nella sezione del registro elettronico accessibile a tutti i genitori della classe è emblematico.

Il PEI, per sua natura, contiene informazioni estremamente delicate sullo stato di salute e sulle esigenze educative speciali di un alunno. Dati “particolari”, come li definisce il GDPR, che richiedono un livello di protezione massimo.

Renderli accessibili, anche per pochi minuti, a chi non ne ha diritto, costituisce una violazione grave.

Ed infatti l’Autorità ha affermato, in detto provvedimento, che tutte le informazioni contenute nel PEI “possono essere fornite solo ai genitori dello studente interessato, ai docenti della classe di appartenenza di quest’ultimo e ai soggetti individuati dalla normativa di settore, coinvolti nell’intervento terapeutico e formativo seguito dall’alunno stesso (cfr. artt. 7 e 9, comma 10, d.lgs. 13 aprile 2017, n. 66)”.

Tra l’altro si evidenzia altresì che, nel caso in esame, un genitore dell’alunno della classe, vista l’errata pubblicazione del PEI, ha provveduto a fare uno screenshot e a condividerlo, senza tuttavia scaricare il documento, nella chat di classe.

Con riguardo a tale profilo, il Garante ha precisato che: “la creazione, da parte di alunni, genitori o rappresentanti di classe, di chat di cui fanno parte i genitori degli studenti e l’utilizzo di tali strumenti come canali di comunicazione di notizie riguardanti i diversi aspetti della vita scolastica, non risulta riconducibile alle attività istituzionali o didattiche poste in essere dall’Istituto scolastico come titolare del trattamento. La creazione di chat di classe o gruppi whatsapp è infatti riconducibile ad autonomi comportamenti posti in essere da privati, dei quali la scuola non è tenuta a rispondere”.

In ogni caso questo ci dimostra che un contenuto una volta che viene condiviso se ne perde la titolarità ed il controllo. 

L’errore umano e l’importanza della formazione privacy

Dalla lettura del provvedimento in esame emerge poi che, come spesso accade e abbiamo già detto, l’errore è stato umano.

Una docente, forse per inesperienza o distrazione, ha commesso un’imprecisione nel gestire il “flag” di visibilità del documento sul registro elettronico. Un dettaglio, un “click” sbagliato, che ha violato la riservatezza di un minore con decine di genitori.

L’istituto però si è attivato sin da subito e ha prontamente rimosso il documento, rimasto visibile per soli 22 minuti, e ha collaborato con l’Autorità, ammettendo l’accaduto e adottando misure correttive, ma l’ammonimento è arrivato, forte e chiaro.

Il Garante ha infatti voluto ribadire che la comunicazione a terzi di dati relativi alla salute di un minore, anche se per errore e in un sistema apparentemente “riservato”, è una violazione degli articoli chiave del GDPR (articoli 5, 6 e 9) e del Codice Privacy italiano (articoli 2-ter e 2-sexies).

Questo ci porta a una riflessione cruciale: la tecnologia è solo uno strumento.

La vera falla, spesso, risiede nella mancanza di consapevolezza, formazione e procedure interne robuste.

Quanti operatori scolastici sono davvero preparati a gestire la complessità dei dati personali in un ambiente digitale? 

Non dimentichiamoci che dell’art. 29 del Regolamento (UE) 2016/679 che prevede che “chiunque agisca sotto… [l’] autorità …del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento”.

Che cosa può fare la scuola per il personale e le famiglie?

Il provvedimento del Garante, seppur specifico, solleva questioni più ampie sulla gestione della privacy in ambito scolastico. Non è solo questione di un singolo PEI, ma di un approccio sistemico alla protezione dei dati.

Ecco alcuni suggerimenti utili da adottare:

  • Formazione del Personale: La scuola è un ambiente dinamico, con un alto turnover di personale, specialmente supplenti. Tutto il personale deve ricevere una formazione adeguata sulla normativa privacy e sulle procedure interne. L’improvvisazione non è ammessa quando si tratta di dati personali, in particolare quelli dei minori e delle persone con disabilità. Nel momento della contrattualizzazione devono essere fornite ai dipendenti specifiche istruzioni privacy su come trattare i dati degli studenti.
  • Controlli Interni: Le scuole dovrebbero implementare controlli regolari sui sistemi informatici e sulle procedure di gestione dei dati per identificare potenziali vulnerabilità e aree di miglioramento.
  • Consapevolezza dei Genitori: Anche i genitori hanno un ruolo e devono essere formati. La diffusione di screenshot di registri elettronici in chat di classe, come accaduto in questo caso, evidenzia una scarsa consapevolezza sui rischi e sulle responsabilità legati alla diffusione di informazioni sensibili. La scuola dovrebbe promuovere una cultura della privacy anche tra le famiglie, sensibilizzando sui pericoli del cyberbullismo e della diffusione incontrollata di dati.
  • Misure di Sicurezza Tecniche: Nonostante l’errore umano, è essenziale che i sistemi informatici scolastici siano progettati con le migliori pratiche di “privacy by design” e “privacy by default”. Questo significa che la configurazione predefinita dovrebbe essere quella più protettiva per la privacy, e che le funzionalità che consentono la visibilità di dati sensibili siano attivate solo dopo un’attenta valutazione e con procedure di autorizzazione rigorose.

Il Vademecum del Garante e il ruolo del DPO/RPD

Per orientarsi in questo campo della privacy, le scuole hanno a disposizione strumenti preziosi. 

Il Garante della Privacy ha pubblicato più volte il Vademecum “La scuola a prova di privacy”, un documento fondamentale che affronta tutte le tematiche connesse al trattamento dei dati personali negli istituti scolastici. Dal trattamento dei “dati particolari” alla gestione delle comunicazioni ai genitori, alla videosorveglianza, il Vademecum offre linee guida chiare per prevenire violazioni e garantire il rispetto della normativa.

È un testo che ogni dirigente scolastico, ogni docente, ogni segreteria dovrebbe non solo conoscere, ma applicare scrupolosamente.

Inoltre ciascuna scuola ha il dovere di nominare un proprio Responsabile della protezione dei dati (RPD o DPO) che ha proprio il compito di supportare l’istituto in merito ad ogni questione legata al trattamento dei dati personali, fornendo pareri, linee guida e supporto pratico per garantire che ogni attività scolastica rispetti la normativa sulla privacy.

Conclusioni: che cosa fare ora?

La vicenda del PEI divulgato è più di una semplice notizia, è un richiamo all’azione.

Non possiamo permetterci che la digitalizzazione, pur portando innegabili benefici, diventi un veicolo di violazioni della privacy, specialmente quando si tratta dei dati più vulnerabili.

La responsabilità è collettiva: delle istituzioni scolastiche, che devono investire in formazione e sicurezza; delle famiglie, che devono essere consapevoli dei loro diritti e dei rischi; e degli studenti stessi, che devono imparare a navigare nel mondo digitale.

Le scuole quindi devono rafforzare la tutela dei dati personali, assicurando che l’innovazione digitale sia sempre al servizio della persona e della sua privacy.