Privacy e dati sanitari del minore: pubblicare solo le iniziali non basta ad anonimizzare i dati
da sinergie di scuola
Multato istituto per diffusione di informazioni inerenti ad uno studente in istruzione domiciliare.
Un errore di valutazione nell’interpretazione delle norme sulla privacy è costato una sanzione di 4.000 euro ad un Istituto Comprensivo. Il Garante per la protezione dei dati personali, con un provvedimento datato 29 aprile 2026, ha accertato la diffusione illecita di dati sensibili relativi alla salute di un alunno minorenne.
Il caso: una circolare troppo dettagliata
La vicenda ha avuto origine dal reclamo della madre di un alunno, la quale ha segnalato che sul sito web istituzionale della scuola era stata pubblicata una circolare riguardante la selezione di docenti per l’istruzione domiciliare. Il documento, liberamente scaricabile, riportava non solo le iniziali del nome e del cognome del minore, ma anche il riferimento a documentazione medica depositata agli atti e l’indicazione della classe di appartenenza dello studente.
La difesa della scuola: “Agito in buona fede”
L’istituto scolastico si è difeso sostenendo di aver agito per garantire la trasparenza amministrativa e il rispetto dei criteri di priorità nella selezione dei docenti. La scuola ha inoltre precisato di aver utilizzato le sole iniziali proprio nel tentativo di rispettare il principio di minimizzazione dei dati, convinta che ciò bastasse a rendere anonimo lo studente. Secondo la difesa, l’identificazione sarebbe stata possibile solo per i membri della comunità scolastica già a conoscenza della situazione di salute del ragazzo.
Il verdetto del Garante: le iniziali non garantiscono l’anonimato
L’Autorità ha ribadito un principio fondamentale: la sostituzione del nome completo con le sole iniziali è “di per sé insufficiente ad anonimizzare i dati”, specialmente quando informazioni di contesto (come la classe o il riferimento a terapie domiciliari) permettono comunque di risalire all’identità dell’interessato.
Il Garante ha sottolineato che:
- I dati relativi alla salute godono di una protezione rafforzata e non possono essere diffusi.
- I minori sono considerati soggetti vulnerabili che meritano una tutela specifica.
- Il complesso di informazioni pubblicate rendeva l’alunno “identificabile” non solo direttamente, ma anche indirettamente tramite deduzione.
Sanzione e misure correttive
Nonostante la violazione sia stata giudicata di gravità media, il Garante ha applicato diverse attenuanti, tra cui la rimozione immediata della circolare, l’assenza di precedenti violazioni e la situazione di criticità organizzativa in cui versa l’istituto.
Oltre alla sanzione pecuniaria, la scuola si è impegnata a rafforzare le proprie misure di sicurezza, prevedendo una formazione specifica del personale e l’istituzione di un gruppo di lavoro dedicato alla protezione dei dati in collaborazione con il Responsabile della Protezione dei Dati (DPO). Il provvedimento è stato inoltre pubblicato sul sito del Garante come sanzione accessoria.
