Sulla problematica relativa alla protezione dei dati personali degli alunni, e degli studenti con disabilità in particolare, è intervenuto un provvedimento del Garante per la protezione dei dati personali.
Infatti, con la pronuncia del 27 novembre 2025 -clicca per scaricare– una scuola è stata sanzionata anche rispetto al solo uso delle iniziali dell’alunno con disabilità
Si era verificato che in un verbale del GLO erano stati indicati le iniziali dell’alunno, per cui a seguito anche di un reclamo dei familiari, il Garante ha ritenuto di intervenire sulla questione sottoposta. A parere dei reclamanti, anche il solo utilizzo delle iniziali avrebbe reso facilmente identificabili i bambini, violando la loro privacy.
La scuola, dal suo canto, ha negato di aver fornito dati identificativi sensibili, sostenendo che le iniziali non permettono l’identificazione certa degli alunni. Ha inoltre affermato che gli elenchi completi degli alunni non sono pubblici e che i genitori delle altre classi non avrebbero avuto modo di risalire all’identità dei bambini.
L’istituto ha poi sostenuto che l’invio delle convocazioni avviene di prassi attraverso piattaforma ARGO che applica tutte le necessarie garanzie per il rispetto del codice della privacy, affermando che la diffusione delle informazioni è avvenuta in un area riservata del registro elettronico, quindi non accessibile a chiunque.
L’Istituto ha inoltre sottolineato che la convocazione dei GLO è un obbligo legale, e che l’invio è avvenuto in un periodo di tempo ristretto per adempiere alle nuove normative. L’istituto ha poi dichiarato che si è trattato di un episodio unico, dovuto a fretta e adempimento degli obblighi di legge.
L’Istituzione scolastica ha anche precisato che la comunicazione è stata inviata a un numero ristretto di persone già a conoscenza delle informazioni o impossibilitate a risalire alle stesse. E ha dichiarato che si sta già operando per adottare misure di pseudonimizzazione, sostituendo i nomi degli studenti con codici.
L’Autorità ha contestato all’Istituto la violazione degli artt. 5, 6 e 9 del Regolamento UE 2016/679 (GDPR) e degli artt. 2-ter e 2-sexies del Codice Privacy.
Ha ritenuto che la convocazione del GLO, anche con le sole iniziali, riveli informazioni sullo stato di salute degli alunni.
L’Autorità ha ribadito che l’uso delle sole iniziali non è sufficiente per anonimizzare i dati, soprattutto se accompagnato da altre informazioni di contesto.
L’Autorità ha evidenziato che la “comunicazione” di dati personali è ammessa solo se prevista da norme di legge.
In conclusione, il Garante ha sanzionato la scuola con il pagamento della somma di euro 1.000,00 in caso di mancata definizione della controversia, entro trenta giorni dalla notifica del provvedimento.
.