Doppia violazione di dati personali: un caso che ci insegna il valore della vigilanza

Facebook
Twitter
LinkedIn

Una catena di disattenzioni ha portato alla comunicazione illecita di dati personali di estrema delicatezza: minori e informazioni sul loro stato di salute. Il tutto, in un contesto pubblico, a cavallo tra un Comune e una cooperativa che gestiva servizi educativi.

Due provvedimenti sanzionatori del Garante della privacy – distinti, ma collegati – offrono una visione nitida delle responsabilità che intercorrono tra chi affida un trattamento e chi lo esegue.

Il contesto operativo: servizi educativi e dati sensibili

Al centro della vicenda si trova un servizio scolastico rivolto all’inclusione di alunni con disabilità, supportato da personale educativo messo a disposizione da un soggetto appaltatore. Come spesso accade, il trattamento dei dati necessari alla pianificazione del servizio – come la diagnosi funzionale, il codice ICD-10, la tipologia di disabilità e le certificazioni di legge – è formalmente affidato a un soggetto esterno, designato responsabile del trattamento.

L’invio di informazioni tra la cooperativa e il Comune è regolato da precisi flussi organizzativi: in occasione di scioperi, l’appaltatore ha l’obbligo di informare l’ente dei servizi non garantiti, così che quest’ultimo possa avvisare scuole e famiglie. Ma è proprio in uno di questi passaggi che si è verificato l’incidente.

L’errore: dati personali in allegati non necessari

Durante la segnalazione di un’astensione dal lavoro, la società incaricata ha trasmesso una serie di file Excel all’ente. In essi, accanto alle informazioni sui servizi non garantiti, erano presenti fogli con l’elenco dettagliato di alunni con disabilità, comprensivi di dati anagrafici, medici e didattici. Nonostante la comunicazione fosse diretta a soggetti interni autorizzati al trattamento, i dati risultavano eccedenti rispetto alla finalità (limitata all’organizzazione dei servizi in occasione dello sciopero).

A peggiorare il quadro è intervenuto un successivo inoltro da parte di un’unità intermedia dell’amministrazione comunale: la mail è stata indirizzata a decine di scuole, coordinatori pedagogici e unità territoriali non pertinenti. In un terzo passaggio, una scuola ha inoltrato uno dei file contenenti dati sensibili direttamente a oltre cinquanta famiglie.

Le responsabilità accertate dal Garante

Il Garante ha sanzionato separatamente i due soggetti coinvolti – titolare e responsabile – evidenziando responsabilità distinte e concorrenti.

Per l’amministrazione appaltante – Titolare del trattamento (provvedimento GPDP n. 273 del 29 aprile 2025 [10146543]):

  • Violazioni accertate: assenza di vigilanza sul contenuto degli allegati ricevuti; trattamento di dati senza idonea base giuridica; diffusione dei dati oltre i soggetti competenti.
  • Norme violate: artt. 5, 6 e 9 del GDPR; art. 2-ter e 2-sexies del Codice Privacy.
  • Sanzione: 40.000 euro.
  • Circostanze attenuanti:
    • Interventi tempestivi per limitare i danni.
    • Adozione di nuove istruzioni e revisioni organizzative.
    • Formazione e incontri con il personale scolastico.
    • Risarcimento economico riconosciuto e poi rimborsato dal fornitore.

Per il soggetto esecutore – Responsabile del trattamento (provvedimento GPDP n. 274 del 29 aprile 2025 [10146337]):

  • Violazioni accertate: mancata adozione di misure tecniche e organizzative idonee a prevenire la diffusione indebita dei dati; invio di documenti eccedenti le finalità dichiarate; scostamento dalle istruzioni ricevute dal titolare.
  • Norme violate: art. 28, par. 3 e art. 32, par. 1 del GDPR.
  • Sanzione: 20.000 euro.
  • Circostanze attenuanti:
    • Immediata attivazione post-incidente.
    • Collaborazione con l’autorità.
    • Risarcimento riconosciuto a una famiglia coinvolta.
    • Adozione di un piano interno di rafforzamento delle misure privacy, con formazione e provvedimenti disciplinari.
Un caso emblematico: la protezione dei dati è questione di processo

Questo episodio mostra chiaramente come una comunicazione apparentemente ordinaria possa trasformarsi in una violazione di rilevanza sistemica, se non accompagnata da cautele adeguate. Non è sufficiente designare formalmente un responsabile: occorre anche fornire istruzioni dettagliate, verificarne il rispetto, e vigilare su ogni passaggio operativo. La pseudonimizzazione, ad esempio, è stata introdotta solo in seguito al danno, ma avrebbe potuto rappresentare da subito una misura preventiva efficace.

Il Garante ha ritenuto la pubblicazione dei provvedimenti opportuna per rendere evidente il livello di gravità, la natura dei dati coinvolti e la necessità di trasparenza.

La lezione

Quando si trattano dati sensibili, specie se relativi a minori, ogni passaggio deve essere rivisto con attenzione: dalla finalità della comunicazione, alla forma dei documenti trasmessi, fino al numero e alla qualifica dei destinatari. Questo caso ci ricorda che la compliance non è un obbligo burocratico, ma una responsabilità operativa quotidiana – condivisa tra tutti i soggetti che trattano dati personali.

Per informazioni sull’offerta di SI.net Servizi Informatici per accompagnarti nelle continue sfide legate alla trasformazione digitale, scrivi a comunicazione@sinetinformatica.it o telefona allo 0331.576848.

Per ricevere aggiornamenti sulle tematiche relative all’innovazione nell’ICT iscriviti alla nostra newsletter.

Segui SI.net anche su LinkedIn, Facebook, X, YouTube, Instagram, Telegram

Picture of Aldo Lupi
Aldo Lupi

SEDE LEGALE
Corso Magenta 46 – 20123 Milano

SEDE AMMINISTRATIVA
Via Filippo Turati 111 – 20023 Cerro Maggiore (MI)

P.IVA e C.F. 02743730125

Iscritta al registro imprese di Milano n. 02743730125 – Capitale sociale 60.000 euro

Pagine informative

Privacy Policy
Newsletter
Lavora con noi
Documentazione Privacy

Servizi e Soluzioni

IT Management
Trasformazioni digitale
Sviluppo software
Privacy
Cybersecurity
Cloud
Noleggio materiale informatico
Logistica e trasporto​
Business intelligence

Social

© 2021 SI.net Servizi Informatici