Casi & Pareri

Sentenza 01/07/2025 n° 1116
Area: Giurisprudenza

1. In materia di accesso agli atti, i genitori separati che versano un assegno di mantenimento hanno diritto di accedere ai dati relativi alla carriera universitaria del figlio maggiorenne, purché limitatamente alle informazioni necessarie per valutare la prosecuzione degli studi. 2. Sussiste l’esistenza di un interesse diretto e attuale del genitore tenuto conto che l’accesso deve essere consentito quando serve per valutare se adire il giudice per una possibile revisione dell’assegno di mantenimento. 3. Le esigenze difensive prevalgono sull’interesse alla riservatezza del figlio maggiorenne, poiché il percorso universitario incide sull’obbligo di mantenimento sia nell’an che nel quantum. 4. Il genitore può accedere alla conoscenza dell’effettiva iscrizione del figlio, al dettaglio degli esami sostenuti con le relative date (escludendo però le votazioni), all’eventuale conseguimento della laurea e alla data del titolo. Resta invece esclusa dall’accesso ogni certificazione sui pagamenti delle tasse universitarie, considerato che tale obbligo è posto a carico del solo studente. Nel caso di specie, un padre ha presentato ricorso contro l’Università che aveva negato l’accesso alla documentazione sulla carriera universitaria del figlio, in particolare la certificazione degli esami sostenuti con votazioni, gli esami residui, l’anno di iscrizione e frequentazione, oltre all’attestazione della regolarità nei pagamenti delle tasse universitarie. L’Università aveva respinto la richiesta motivando il diniego con la mancata indicazione di un interesse giuridicamente tutelato e la contraria volontà del figlio, che aveva invocato la tutela della propria riservatezza secondo la normativa sulla protezione dei dati personali.

Sentenza 15/07/2025 n° 785
Area: Giurisprudenza

I genitori di un alunno di dieci anni promuovevano un giudizio affermando che lo stesso avrebbe subito un infortunio a scuola, mentre giocava a calcio nel campetto dell’istituto. Precisamente i genitori hanno dichiarato che il proprio figlio, durante la partita di pallone (svoltasi di venerdì alle 14), sarebbe stato colpito alla mano destra dal pallone, scagliato violentemente da un compagno e che il giorno dopo, persistendo il dolore e il gonfiore alla mano destra, era stato accompagnato presso il Pronto Soccorso, dove gli era stata diagnosticata la “frattura angolata metadiafisaria del V metacarpo”, con prognosi di giorni 20 e con applicazione di apparecchio gessato. In fase istruttoria è stata sentita come testimone la tutor del dopo scuola, che accompagna i ragazzi a mensa e poi in cortile, unica responsabile della sorveglianza in quel momento, la quale ha dichiarato che l’incidente non era stato segnalato da nessuno e di aver appreso del fatto soltanto il lunedì successivo vedendo l’alunno con la mano ingessata. Nel giudizio è altresì emerso che i genitori non avevano segnalato alcunché alla scuola nei giorni di venerdì e sabato, pur trattandosi di un istituto di religiose le quali sono raggiungibili anche di domenica, vivendo presso l’istituto. Il Tribunale ha innanzitutto chiarito che, in presenza di danno riportato dall’alunno in orario scolastico, la responsabilità dell’Istituto e dell’insegnante non ha natura extracontrattuale bensì contrattuale atteso, quanto all'istituto scolastico, che l'accoglimento della domanda di iscrizione, con la conseguente ammissione dell'allievo alla scuola, determina l'instaurazione di un vincolo negoziale dal quale sorge, a carico dell'istituto, l'obbligazione di vigilare sulla sicurezza e l'incolumità dell'allievo, nel tempo in cui questi fruisce della prestazione scolastica in tutte le sue espressioni, anche al fine di evitare che l'allievo procuri danno a se stesso. Ne deriva che, nelle controversie instaurate per il risarcimento del danno promosse nei confronti dell'istituto scolastico, è applicabile il regime probatorio desumibile dall'art. 1218 c.c., sicché, mentre l'attore deve provare che il danno si è verificato nel corso dello svolgimento del rapporto, sull'altra parte incombe l'onere di dimostrare che l'evento dannoso è stato determinato da causa non imputabile né alla scuola, né all'insegnante. Ciò premesso, il Tribunale ha dichiarato infondata la domanda proposta dai genitori dell’allievo, non essendo stati in grado di provare che le lesioni riportate dal minore si erano verificate mentre lo stesso si trovava affidato all’istituto.

Sentenza 03/04/2025 n° 443
Area: Giurisprudenza

Nella fattispecie, all’uscita di scuola, un alunno minorenne, in procinto di essere ripreso dallo zio e dunque affidato ad un adulto, scivolava sulla rampa del piazzale antistante l’ingresso e, cadendo rovinosamente a terra, si procurava la rottura della caviglia. Il ragazzo era seguito da un insegnante di sostegno ai sensi della legge n. 104/1992, ma non risultava aver mai lamentato difficoltà di deambulazione relative alla propria condizione, né i genitori avevano mai richiesto ausilii per problemi nella deambulazione autonoma dell’alunno. Ciò premesso quanto ai fatti, il Tribunale ha dato applicazione all’orientamento della Suprema Corte in base al quale in caso di danno cagionato dall'alunno a se stesso (autolesione), la responsabilità dell'Istituto scolastico e dell'insegnante ha natura contrattuale (ex art. 1218 cod. civ.##191L), poiché l'accoglimento della domanda di iscrizione determina l'instaurazione di un vincolo negoziale dal quale sorge l'obbligo della scuola di vigilare sulla sicurezza e sull'incolumità dell’alunno nel tempo in cui questi fruisce della prestazione scolastica in tutte le sue espressioni; quanto al precettore, tra insegnante e allievo si instaura, per contatto sociale, un rapporto giuridico nell'ambito del quale il primo assume anche uno specifico obbligo di protezione e vigilanza onde evitare che l'alunno si procuri da solo un danno alla persona. Se è vero che di regola la scuola deve dimostrare che l’evento è stato determinato da causa non imputabile ovvero al di fuori della sfera di controllo dell'ente obbligato alla prestazione, pur tuttavia va considerato che l’art. 1218 cod. civ.##191L in materia di responsabilità contrattuale, in casi siffatti, non pone l’intero onere probatorio a carico dell’Amministrazione. Infatti, non è sufficiente per l’attore che richieda il risarcimento del danno allegare di aver subito un pregiudizio, bensì è necessario che egli dimostri altresì il nesso causale che lega la condotta del soggetto asseritamente inadempiente al danno di cui chiede il risarcimento. Nel caso di specie tale prova è mancata, poiché i genitori attori hanno unicamente dedotto il danno subito dal proprio figlio, senza fornire precise allegazioni dirette a individuare la causa dell’evento dannoso nella mancata osservanza di cautele da parte della scuola. In sostanza, gli attori hanno violato l’art. 2697 cod. civ. per avere omesso la dimostrazione, in concreto, circa la dinamica del fatto ed il nesso eziologico di tipo materiale. Ciò ha dato luogo ad un consequenziale effetto anche in ordine all’onere incombente alla Amministrazione convenuta: in mancanza del prioritario assolvimento della prova posta a carico degli attori non è mai sorto il relativo consequenziale onere per l’Amministrazione afferente alla prova liberatoria. In base, infatti, al principio enunciato dalla Corte di Cassazione, l’onere probatorio del convenuto, di contenuto contrario a quello dell’attore, sorge in concreto solo quando quest’ultimo abbia fornito la prova dei fatti posti a fondamento della domanda, con la conseguenza che l’insufficienza della prova con cui il convenuto abbia inteso confortare le contestazioni delle pretese dell’attore non vale a dispensare quest’ultimo dell’onere probatorio a suo carico salvo, peraltro, il principio di generale applicazione per cui i fatti allegati da una parte possono considerarsi pacifici si da potere essere posti a base della decisione -non solo quando siano stati esplicitamente ammessi dalla controparte- ma anche quando questa non li contesti specificamente ed imposti altrimenti il proprio sistema difensivo. Il Tribunale ha pertanto respinto la domanda degli attori, con condanna degli stessi alle spese processuali.

Sentenza 22/05/2025 n° 68
Area: Giurisprudenza

Anche il bambino nato nell’ambito di un progetto genitoriale realizzato da una coppia di donne seguendo un percorso di procreazione medicalmente assistita (PMA) ha diritto al riconoscimento sin dalla nascita dello status di figlio sia della madre biologica (che si è sottoposta al trattamento) sia della madre d’intenzione. La legge n. 40/2004 già si occupa di tutelare i bambini nati da PMA e, in particolare, di assicurare loro che entrambi i genitori che abbiano acconsentito a tale pratica per generare una nuova vita se ne assumano la responsabilità. Nel caso di PMA tramite fecondazione eterologa, infatti, il consenso prestato alle relative pratiche impedisce al genitore che non abbia fornito il proprio apporto biologico alla fecondazione di disconoscere la paternità del bambino, proprio per evitare che chi abbia inteso dar luogo al suo concepimento si sottragga alla responsabilità genitoriale (ad esempio, a seguito di una separazione della coppia). Si tratta di una regola che intende tutelare il miglior interesse del minore, che rappresenta un principio guida di tutta la disciplina della filiazione. Per questo motivo, impedire il riconoscimento del legame sia con la madre biologica sia con quella d’intenzione vìola diverse norme costituzionali. In primo luogo, il mancato riconoscimento dello status filiationis equivale ad una violazione del diritto all’identità personale del figlio (riconducibile all’art. 2 Cost.), che è costituita anche dal riconoscimento giuridico dell’appartenenza a entrambi i rami familiari. In secondo luogo, anche se l’interesse del minore va bilanciato con gli altri eventuali controinteressi confliggenti, in questo caso non ci sono valori o interessi che giustificano la compressione del diritto del bambino al riconoscimento dello status filiationis (perciò la disciplina in oggetto è contraria al principio di ragionevolezza ex art. 3 Cost.). Terzo, la norma che impedisce tale riconoscimento ostacola l’esercizio di tutti quei diritti del figlio discendenti proprio dai doveri inerenti alla responsabilità genitoriale (art. 30 Cost.). Il carattere omosessuale della coppia dei genitori non può impedire l’esercizio di tali diritti del figlio, anche perché, in ogni caso, l’orientamento sessuale non incide di per sé sull’idoneità all’assunzione della responsabilità genitoriale. Non si tratta, peraltro, di riconoscere l’esistenza di un “diritto alla genitorialità”, ma di constatare che il riconoscimento dello status di figlio al bambino nato da una coppia omogenitoriale che abbia seguito un percorso di PMA corrisponde al suo miglior interesse perché opera sin dalla sua nascita e lo tutela dalle eventuali vicende della coppia. Bisogna infatti considerare diversi ulteriori aspetti legati alla disciplina vigente. Anzitutto, non è sufficiente, in tale ipotesi, poter accedere all’adozione in casi particolari (art. 44, comma 1, lettera d), della legge n. 184 del 1983) da parte del partner del genitore biologico, perché questa forma di adozione rimette l’acquisizione dello status di figlio all’eventuale iniziativa del genitore intenzionale, che deve intraprendere un procedimento lungo, dispendioso, aleatorio (come ogni altro procedimento giudiziario) e che produce effetti dal momento della sentenza che consente l’adozione. In secondo luogo, e di conseguenza, va considerato che, nel caso in cui la madre intenzionale non intenda procedere all’adozione, ad esempio a seguito di separazione dalla madre biologica, non esistono strumenti per quest’ultima o per il minore per farne valere la responsabilità genitoriale. Infine, va considerata l’eterogeneità dei comportamenti tenuti dagli ufficiali di stato civile rispetto alle richieste di registrare alla nascita entrambe le madri in casi come quello in esame, nonché la facoltà di scelta dei pubblici ministeri di richiedere eventualmente e senza limiti di tempo di rettificare gli atti di nascita che indicano due genitori dello stesso sesso. La discrezionalità delle autorità è, insomma, in grado di ripercuotersi significativamente sulla vita del bambino, destinato ad una situazione di perpetua incertezza e imprevedibilità rispetto alla propria situazione giuridica. L’art. 8 della legge n. 40/2004 è pertanto costituzionalmente illegittimo per violazione degli artt. 2, 3 e 30 Cost. (Nel caso in esame, la Corte costituzionale ha dichiarato l’illegittimità dell’art. 8 della legge n. 40/2004 “Norme in materia di procreazione medicalmente assistita” nella parte in cui non consente di riconoscere lo status di figlio al bambino nato in Italia da una donna che abbia fatto ricorso all’estero in conformità alle leggi ivi vigenti a tecniche di PMA nell’ambito di un percorso genitoriale condiviso con la sua partner.)

Ordinanza 11/08/2025 n° 23084
Area: Giurisprudenza

Ai sensi dell'art. 37, comma 2 del D.Lgs. 9 aprile 2008, n. 81, la formazione in materia di sicurezza e di salute, dei lavoratori e quella dei loro rappresentanti deve avvenire, in collaborazione con gli organismi paritetici, ove presenti nel settore e nel territorio in cui si svolge l'attività del datore di lavoro, durante l'orario di lavoro e non può comportare oneri economici a carico dei lavoratori. La formazione va qualificata quale diritto/dovere del lavoratore rispetto al quale la legge prescrive soltanto che l'offerta di formazione avvenga durante l'orario di lavoro e senza oneri economici per il lavoratore. Ciò posto, rientra nell'orario di lavoro delle 18 ore settimanali di cui all'art. 29 CCNL 2007 ( ora art 44 del CCNL 2024), quale unico vincolo orario stabilito per i docenti, essendo sospesa l'attività didattica nel mese di giugno, l'impegno di partecipazione al corso sulla formazione in tale mese, dovendo ritenersi esigibile tale impegno entro il limite orario delle 18 ore settimanali previsto per le attività di insegnamento dalla contrattazione collettiva. D'altra parte, un eventuale riconoscimento di ore aggiuntive ex art 30 CCNL 2007 ( ora art. 45 CCNL 2024) si porrebbe in aperto contrasto con la predetta norma primaria di cui al D.Lgs. n. 81 del 2008 che stabilisce che la formazione in materia di sicurezza e di salute dei lavoratori e quella dei loro rappresentanti deve avvenire durante l'orario di lavoro. ( La Cassazione ha confermato la sentenza della Corte di Appello con cui era stato affermato che la partecipazione al corso in materia di salute e sicurezza doveva avvenire durante l'orario di lavoro e senza oneri economici per il lavoratore, per cui la scelta della dirigenza scolastica di far svolgere il corso nel mese di giugno, essendo sospesa l'attività didattica, era compatibile con il limite orario delle 18 ore settimanali previsto per le attività di insegnamento dalla contrattazione collettiva. La Corte di Appello, nel riformare la sentenza di primo grado, ha altresì osservato che era onere del lavoratore allegare e provare di aver già completato, nell’unità temporale in questione - mese di giugno -, il monte di ore lavorative previsto dalla legge e dalla contrattazione collettiva, cosa che il predetto docente non ha fatto, essendo assolutamente verosimile che non ci sia stato alcun superamento di tale limite orario, avuto riguardo alla sospensione delle lezioni coincidente con la chiusura dell’anno scolastico all’inizio del mese di giugno, la quale tuttavia non comporta affatto la cessazione degli obblighi lavorativi del docente, a differenza di quanto avviene durante la fruizione delle ferie. In senso contrario si ricorda che la Corte di Appello di Bologna con la Sentenza 25/05/2016 n° 376, aveva affermato che la frequenza del corso di formazione per Addetto al Servizio di Prevenzione e Protezione costituisce attività ricompresa nell'ampia dizione di cui all'art. 29 del C.c.n.l. della Scuola 2006 / 2009 quale "attività funzionale all'insegnamento" che comprende, fra le altre le attività di "aggiornamento e formazione" e, pertanto, non deve essere separatamente remunerata come attività aggiuntiva).

Ordinanza 03/05/2025 n° 11614
Area: Giurisprudenza

L'art. 2049 c.c. stabilisce la responsabilità del datore di lavoro per danni commessi dai suoi dipendenti nel corso dell’attività lavorativa. La norma configura una forma di responsabilità oggettiva per fatto altrui, in forza del quale l'avvalimento, da parte di un soggetto, dell'attività di un altro per il perseguimento di propri fini comporta l'attribuzione al primo di quella posta in essere dal secondo nell'ambito dei poteri conferitigli. Affinchè insorga tale forma di responsabilità deve esistere il nesso di occasionalità necessaria; il nesso sussiste nella misura in cui le funzioni esercitate abbiano determinato, agevolato o reso possibile la realizzazione del fatto lesivo, nel qual caso è irrilevante che il dipendente abbia superato i limiti delle mansioni affidategli, o abbia agito con dolo e per finalità strettamente personali. La responsabilità ex art. 2049 cc è subordinata, però, alla condizione che la condotta del preposto costituisca pur sempre il non imprevedibile sviluppo dello scorretto esercizio delle mansioni, non potendo il preponente essere chiamato a rispondere di un'attività del preposto che non corrisponda, neppure quale degenerazione od eccesso, al normale sviluppo di sequenze di eventi connesse all'espletamento delle sue incombenze. Nel caso di molestie verificatesi a scuola a danno di un alunno, per verificare se sussista una responsabilità della scuola (datore di lavoro), occorre allora domandarsi se rientrasse nell'ambito dell'attività di quest’ultima (e, per essa, del MIUR, ora MIM) l'affidamento al personale scolastico della cura e della vigilanza sui minori e se, ragionevolmente, non fosse imprevedibile una deviazione dai compiti conferiti tale da imporre adeguate misure di prevenzione o, quantomeno, la valutazione dello specifico rischio. Occorre premettere che alla scuola - e, quindi, al personale scolastico del Ministero - spetta l'obbligo giuridico di vigilare sulla sicurezza e sull'incolumità dell'allievo nel tempo in cui questi fruisce della prestazione scolastica in tutte le sue espressioni. Il "contratto scolastico" comprende, infatti, accanto all'obbligo principale di istruire ed educare, quello accessorio di proteggere e vigilare sull'incolumità fisica e sulla sicurezza degli allievi, sia per fatto proprio, adottando tutte le precauzioni del caso, che di terzi, fornendo le relative indicazioni ed impartendo le conseguenti prescrizioni, e da adempiere, per il tempo in cui gli allievi fruiscono della prestazione scolastica, con la diligenza esigibile dallo status professionale rivestito. A carico della scuola (id est, del Ministero) si configura, perciò, un vero e proprio affidamento che impone la predisposizione, da parte del personale scolastico (in primis, della dirigenza, ma tale dovere incombe su tutti gli addetti, docenti e non), di ogni accorgimento necessario (da valutare in base alle concrete circostanze, tra le quali, in primo luogo, l'età anagrafica degli allievi) a prevenire potenziali pericoli derivanti da cose o da persone nel corso delle attività. Per quanto riguarda le molestie sui minori, dalla normativa (nazionale e sovranazionale) si evince che la possibilità che una relazione di cura, vigilanza e istruzione possa anormalmente evolversi in un abuso sessuale non costituisce affatto un'anomalia imprevedibile ed è, anzi, prevista dalla disciplina; questa, difatti, esplicitamente si incentra sulle situazioni normalmente esistenti tra i minorenni e le persone che svolgono le predette funzioni come occasioni di un potenziale e pregiudizievole abuso del rapporto di fiducia che consente loro di controllare, punire o ricompensare i minori a livello emotivo, economico o persino fisico. Sotto il profilo statistico, poi, non è infrequente che a rivolgere a minorenni morbose attenzioni (e pure atti) di natura sessuale siano le persone alle quali è affidata la loro cura, proprio perché l'assunzione di compiti di cura, di educazione, di istruzione, di vigilanza o di custodia dei minori crea una situazione maggiormente favorevole ai predatori sessuali. Pertanto, le molestie perpetrate in danno di alunni minori, pur costituendo condotte opposte rispetto ai fini istituzionali perseguiti dall'ente pubblico, non sono oggettivamente improbabili e, dunque, non costituiscono un'anomalia imprevedibile - e, cioè, un comportamento completamente scisso dalle funzioni svolte e privo di ogni connessione con queste - tale da esentare la Pubblica Amministrazione dal dovere di adottare ogni misura volta a prevenire ed evitare la commissione di siffatti reati durante la somministrazione delle prestazioni scolastiche e, in ogni caso, dall'assunzione del rischio derivante dalla commissione di crimini nel corso di questa. Ricorre allora il nesso di occasionalità necessaria e, quindi, la responsabilità della scuola per le molestie attuate dal dipendente nei confronti dell’alunno ogni qual volta la condotta del primo non abbia assunto i caratteri dell'assoluta imprevedibilità ed eterogeneità rispetto ai compiti istituzionali, sì da non consentire il minimo collegamento con essi.

Sentenza 25/08/2025 n° 254
Area: Giurisprudenza

In un caso di pubblicazione sulla piattaforma Youtube di un video diffamatorio girato da un ragazzo di undici anni e avente ad oggetto un compagno di classe, la prova liberatoria di cui all’art. 2048 c.c. non può essere integrata da circostanze generiche rispetto alla vicenda concreta, come ad esempio il fatto che il minore aveva una buona scolarità, era rispettoso dei compagni di classe e degli insegnanti, non aveva manifestato segni di aggressività, era costantemente seguito dai genitori nelle sue vicende scolastiche. Nessuna delle circostanze articolate riguarda l’educazione impartita dai genitori al figlio sull’uso dello smartphone e, in particolare, sulla possibilità di condividere in rete il materiale (foto/video) con esso prodotto. Non rileva nemmeno che la consegna di uno smartphone a bambini sempre più piccoli sia o meno espressione di un costume sociale diffuso ai fini della esclusione della responsabilità dei genitori, i quali sono tenuti a porre limiti sul suo uso o, in caso di un uso indiscriminato, a istruire concretamente sugli effetti che la condivisione del materiale sensibile determina. (Fattispecie nella quale un alunno di anni 11, durante il trasporto scolastico, girava un video, postato poi nella piattaforma Youtube, nel quale riprendeva un compagno e aggiungeva la didascalia “bambino handicappato”. La Corte di appello, confermando la pronuncia di primo grado, ha ritenuto non raggiunta la prova liberatoria da parte dei genitori chiamati a rispondere per il fatto del figlio ai sensi dell’art. 2048 c.c. in quanto le circostanze addotte appaiono generiche rispetto alla vicenda lesiva concreta.)

Sentenza 08/05/2025 n° 547
Area: Giurisprudenza

In una scuola elementare, durante lo svolgimento delle attività scolastiche, un minore cadeva rovinosamente riportando la frattura dei due denti incisivi superiori. Il padre del minore promuoveva un giudizio civile diretto a chiedere il rimborso delle spese mediche e il risarcimento dei danni asseritamente subiti. Il Tribunale ha innanzitutto ribadito che la legittimazione passiva spetta al Ministero, ai sensi dell’art. 28 Cost., e non all’Istituto scolastico, in virtù della giurisprudenza consolidata, in base alla quale gli istituti scolastici hanno personalità giuridica e autonomia gestionale e amministrativa, ma restano organi dello Stato. Sotto il profilo della prescrizione, le azioni di responsabilità per i danni subiti dall’allievo, sia auto-cagionati che etero-cagionati, è di tipo contrattuale (rectius, da contatto sociale), con la conseguenza che la prescrizione è decennale ordinaria e non quinquennale. Come più volte ribadito dalla giurisprudenza, in caso di danno cagionato dall'alunno a se stesso (autolesione), la responsabilità dell'Istituto scolastico e dell'insegnante ha natura contrattuale (ex art. 1218 c.c.) poiché, quanto all'Istituto, l'accoglimento della domanda di iscrizione determina l'instaurazione di un vincolo negoziale dal quale sorge l'obbligo di vigilare sulla sicurezza e sull'incolumità del discepolo nel tempo in cui questi fruisce della prestazione scolastica in tutte le sue espressioni; quanto al precettore, tra insegnante e allievo si instaura, per contatto sociale, un rapporto giuridico nell'ambito del quale il primo assume anche uno specifico obbligo di protezione e vigilanza onde evitare che l'alunno si procuri da solo un danno alla persona. Dall’inquadramento di tali azioni nel novero della responsabilità contrattuale derivano importanti conseguenze in ordine all’onere della prova gravante, ai sensi dell’art. 2697 cod. civ., sul genitore attore. La scuola deve dimostrare che l’evento è stato determinato da causa non imputabile ovvero al di fuori della sfera di controllo dell'ente obbligato alla prestazione. Essendo la caduta avvenuta in classe, la responsabilità della scuola è, in linea astratta, evidente. Pur tuttavia, in tema di onere probatorio incombente alla parte attrice, il Tribunale ha precisato che il genitore avrebbe dovuto non semplicemente allegare l'inadempimento o l'inesatto adempimento dell'obbligazione di assistenza gravante sulla scuola, bensì dimostrare il nesso causale fra la condotta dell'obbligato inadempiente e il pregiudizio di cui chiedeva il risarcimento. In sostanza, è applicabile il regime probatorio previsto dall’art. 1218 c.c. ma con un atteggiamento particolare dell’onere della prova incombente sulla parte attrice, rispetto alla regola dettata per l’inadempimento in generale. Se per un verso, la responsabilità dedotta dall’attore ricade nell’alveo della responsabilità contrattuale (art. 1218 c.c.), per altro verso, la distribuzione dell'onere della prova fa sì che non possa dirsi sufficiente, al fine di vedere accolta la domanda risarcitoria, la mera allegazione dell'inadempimento. E’ pertanto necessaria la prova che il danno occorso all’alunno sia legato dal nesso di derivazione causale al comportamento inadempiente. Colui che si assume danneggiato ha, dunque, l'onere di dimostrare in concreto l'esistenza del nesso causale tra la condotta del soggetto asseritamente inadempiente e il danno di cui chiede il risarcimento. Ciò premesso, nel caso in esame, l’alunno era caduto in aula alla presenza di due insegnanti, ma il genitore, nel proporre la domanda risarcitoria, non ha fornito precise allegazioni dirette ad individuare la causa dell’evento dannoso nella mancanza di cautele da parte della scuola o comunque nelle condizioni di potenziale pericolosità dello stato dei luoghi. Inoltre, in fase di prova testimoniale, era emerso che le insegnanti avevano impartito adeguate regole di comportamento agli alunni, che la caduta era stata improvvisa e che non risultavano elementi probatori atti a dimostrare distrazioni, sbadataggini o sventatezze. In altri termini, la repentinità della caduta dette luogo al caso fortuito, nonostante la sorveglianza di ben due insegnanti, di cui una risultata trovarsi ad un metro di distanza dall’alunno. La caduta si verificò, dunque, per causa fortuita e, in quanto tale, essa si sottrasse all’intervento delle docenti presenti in classe, con conseguente infondatezza nel merito della domanda di risarcimento proposta dal genitore, per aver questi omesso di dimostrare, in concreto, la dinamica della caduta ed il nesso eziologico di tipo materiale. L’effetto di tale omessa dimostrazione si riverbera sull’onere probatorio posto a carico dell’Amministrazione, la quale, per tale ragione, non può dirsi onerata di fornire la prova liberatoria.

Sentenza 10/03/2025 n° 332
Area: Giurisprudenza

1. In materia di accesso agli atti, il diniego di accesso non può essere disposto oltre i casi in cui risulta espressamente previsto, tra i quali non figura l’ipotesi di decadenza della responsabilità genitoriale, soprattutto quando è in gioco il superiore interesse del minore e il diritto di difesa di un genitore in sede giudiziaria. 2. Pertanto, in assenza di una specifica preclusione normativa e in presenza di un documentato diritto di difesa anche connesso al superiore interesse del minore, il genitore ha diritto ad accedere alla documentazione richiesta, con le dovute cautele per la tutela dei dati sensibili. Nel caso di specie, una madre alla quale era stato tolto l’affidamento del figlio ormai da oltre tre anni aveva domandato la copia di tutta la documentazione scolastica relativa al minore. La madre, coinvolta in un procedimento civile per contestare quello un illecito allontanamento coatto, aveva chiesto all’istituto comprensivo frequentato dal figlio pagelle, verifiche, verbali e registro delle assenze degli ultimi tre anni. Tali documenti erano necessari per supportare la propria posizione processuale, sottolineando come il rendimento scolastico e le condizioni psicofisiche del bambino si fossero aggravate dopo l’allontanamento. Il dirigente scolastico aveva respinto la richiesta, motivando il diniego con la decadenza dalla responsabilità genitoriale della madre: la donna non era quindi più legittimata secondo la scuola a ricevere i documenti.

Sentenza 20/03/2025 n° 7483
Area: Giurisprudenza

La certificazione verde (o “green pass”) è stata una modalità alternativa alla vaccinazione ispirata dall’intento di rispettare, ove possibile, la scelta della persona di rifiutare la somministrazione del vaccino, cosicché non può essere assimilata alle misure che il datore di lavoro è tenuto ad adottare, sopportandone i relativi costi, per garantire la sicurezza dei luoghi di lavoro, nel rispetto delle prescrizioni imposte dal d.lgs. n. 81/2008. La risposta data dall’Agenzia delle Entrate all’interpello n. 160 del 30 marzo 2022, oltre a non essere manifestazione di attività normativa, integra un mero parere non conforme a diritto laddove assimila il tampone alle misure di sicurezza imposte dal d.lgs. n. 81/2008. In tema di spese processuali il sindacato della Corte di cassazione, ai sensi dell'art. 360, comma 1, n. 3 cod. proc. civ., è limitato ad accertare che non risulti violato il principio secondo il quale le stesse non possono essere poste a carico della parte totalmente vittoriosa, per cui esula dall’ambito del giudizio di legittimità, rientrando nel potere discrezionale del giudice di merito, la valutazione dell'opportunità di compensarle in tutto o in parte, pur in presenza delle condizioni alla cui ricorrenza il legislatore ha subordinato la deroga al principio di soccombenza. (Nel caso di specie, un docente, aveva lamentanto di essere stato costretto nel periodo pandemico al cd. test del tampone, al fine di ottenere la certificazione verde necessaria, ai sensi dell’allora vigente art. 9-ter DL 52/2021, per l’accesso ai locali scolastici. Ritenendo che fosse il Ministero a doversi accollare i costi connessi alla sottoposizione al test antigenico, il docente aveva richiesto al Dirigente Scolastico il rimborso delle spese da lui sostenute per l’acquisto dei tamponi antigenici. Entrambi i giudici del merito avevano respinto la sua domanda e la Cassazione ha confermato la legittimità del diniego opposto dal dirigente scolastico).

Sentenza 29/08/2025 n° 3511
Area: Giurisprudenza

In caso di infortunio occorso all’alunno durante l’orario scolastico, la scuola per andare esente da responsabilità ha l’onere di dimostrare di non aver potuto impedire il fatto, che comprende la prova di aver adottato in via preventiva le misure organizzative idonee ad evitare una situazione di pericolo nonché la prova dell’imprevedibilità e repentinità in concreto dell’azione dannosa, mentre lo studente ha il solo onere di provare il fatto costitutivo della domanda di risarcimento. Nel caso di specie, riguardante il danno riportato da un alunno di scuola dell’infanzia durante l’orario scolastico per essere caduto mentre l’insegnante, di spalle, riordinava l’aula, non può dirsi superata la presunzione di responsabilità per culpa in vigilando gravante sulla docente anche in ragione della giovanissima età degli alunni. L’insegnante, infatti, ammettendo di essere stata di spalle nel momento della caduta dell’alunno, e quindi di non avere avuto la vigilanza diretta ed attenta sul minore infortunatosi, non può invocare la imprevedibilità e repentinità dell’azione, mentre deve ravvisarsi l’esistenza del nesso causale tra la dichiarata disattenzione e la caduta (e quindi le lesioni) del minore. (La pronuncia in analisi ricorda che, per giurisprudenza costante, l’accoglimento della domanda di iscrizione determina l’instaurazione di un vincolo negoziale dal quale sorge a carico della scuola l’obbligazione di vigilare sulla sicurezza e l’incolumità dell’allievo per il tempo in cui questo fruisce della prestazione scolastica in tutte le sue espressioni, con l’effetto che la scuola è tenuta a predisporre tutti gli accorgimenti all’uopo necessari, anche al fine di evitare che l’allievo procuri danno a se stesso sia all’interno dell’edificio che nelle pertinenze scolastiche.)

Sentenza 16/09/2025 n° 523
Area: Giurisprudenza

Mansioni caratterizzate dal contatto diretto con gli alunni a una distanza ravvicinata in un ambiente chiuso, peraltro prolungato anche nell’arco di ore, costituiscono una situazione lavorativa pacificamente idonea alla trasmissione del SARS-CoV2, soprattutto nel momento in cui il lavoratore non indossi un idoneo dispositivo di protezione respiratoria individuale. Il danno causato comporta il diritto all’indennizzo in applicazione di quanto disposto dal D.P.R. 30 giugno 1965, n. 1124 e dal D.Lgs. 23 febbraio 2000, n. 38, il cui art. 13 ha disposto un indennizzo per il danno biologico, purché riduca la capacità lavorativa dell’assicurato in misura pari o superiore al 6%. (Nel caso di specie dall’istruttoria è emerso che con l’insorgenza della pandemia da Covid 19, tra le mansioni della dipendente, collaboratrice scolastica, vi fosse anche quella di assistere gli alunni che manifestavano i sintomi dell’infezione da SARS-COV2 durante lo svolgimento delle lezioni, in attesa dell’arrivo dei genitori, nonché quella, ulteriore, di provvedere a consegnare loro l’alunno malato dopo averlo accompagnato di persona all’ingresso della scuola; incombenza che la esponeva, dunque, ad un elevato rischio di contagio. La domanda è stata, dunque, accolta, con conseguente condanna al pagamento dell’indennizzo in capitale, per i postumi della malattia professionale riconosciuta, nella misura complessiva accertata in sede peritale del 13%.).

Sentenza 26/08/2025 n° 176
Area: Giurisprudenza

Nel rapporto di pubblico impiego privatizzato, il fatto che alcune condotte possano assumere rilievo disciplinare non ne esclude un’ulteriore valutazione al diverso fine di accertare l’idoneità del lavoratore alle mansioni, trattandosi di profili del tutto diversi. L’art. 55-octies d.lgs. 165/2001 non pone alcun limite temporale all’accertamento di idoneità psico-fisica del dipendente, accertamento che l’amministrazione può disporre in qualsiasi momento successivo al superamento del periodo di prova sussistendo i presupposti di cui all’art. 3 comma 3 del DPR 171/2011. Nel caso di specie, a fronte di un precedente accertamento, seppure provvisorio, conclusosi con la declaratoria di inidoneità assoluta del docente, nelle cui more erano stati avviati due procedimenti disciplinari che avevano portato, il primo, alla sospensione dal servizio per sei mesi e, il secondo, alla destituzione (sanzioni poi annullate dal Tribunale per tardività delle contestazioni), l’amministrazione non solo avrebbe potuto, ma alla luce dei suoi doveri di protezione della salute e della sicurezza del personale scolastico e degli studenti, avrebbe dovuto disporre un nuovo accertamento di idoneità prima di consentire al docente la ripresa dell’attività lavorativa, comandata dalla sentenza di reintegrazione. L’esito del nuovo giudizio di idoneità così disposto poteva essere confutato solo con un’indagine medico-legale, che dichiarasse l’idoneità del lavoratore alle mansioni di docente, ma il rifiuto del dipendente di sottoporsi alla CTU disposta dal giudice di prime cure rende impossibile la confutazione di tale accertamento, che conserva la sua validità e preclude l'accoglimento della domanda di reintegrazione nelle mansioni per le quali è stata accertata l'inidoneità permanente. (Nel caso di specie un docente di scuola secondaria di secondo grado, dopo essere stato sospeso in via cautelare dal DS a norma dell’art. 6 DPR 171/2011 per presunta inidoneità psichica e aver subito due sanzioni disciplinari - poi annullate dal Tribunale per tardività di entrambe le contestazioni - , viene reintegrato nel dicembre 2020. L'amministrazione scolastica dispone contestualmente un nuovo accertamento sanitario di idoneità, che si conclude con giudizio di permanente inidoneità alle mansioni di insegnante e parziale idoneità a mansioni di tipo amministrativo. Il docente rifiuta l'assegnazione a mansioni amministrative ed il rapporto di impiego viene dichiarato risolto per decadenza a norma dell’art. 511 d.lgs. 297/1994. Il docente impugna il licenziamento sostenendo l'illegittimità del nuovo accertamento sanitario e nel giudizio rifiuta di sottoporsi alla CTU medico-legale disposta dal giudice. La Corte di Appello conferma la sentenza di primo grado che aveva rigettato il ricorso del docente sulla base della legittimità del nuovo accertamento di idoneità disposto dall’Amministrazione.)

Sentenza 04/09/2025 n° 1831
Area: Giurisprudenza

Durante la lezione di educazione motoria, un alunno maggiorenne cadeva accidentalmente riportando lesioni del legamento crociato del ginocchio sinistro, con prescrizione di sottoposizione ad intervento chirurgico. Lo studente proponeva domanda giudiziale diretta ad ottenere la condanna la risarcimento del danno per un importo di oltre 36.000 euro, quantificato attraverso una perizia di parte. Il giudice, dopo aver inquadrato la fattispecie nell’ambito della responsabilità contrattuale, ha respinto la domanda giudiziale ritenendola infondata. L’ipotesi di danno cagionato dall’alunno a se stesso rientra, quindi, nell’applicabilità dell’art. 1218 cod. civ. Al riguardo, infatti, la giurisprudenza ha più volte affermato che la responsabilità dell'istituto scolastico e dell'insegnante non ha natura extracontrattuale, bensì contrattuale, poiché, quanto all'istituto scolastico, l'accoglimento della domanda di iscrizione con la conseguente ammissione dell'allievo alla scuola, determina l'instaurazione di un vincolo negoziale dal quale sorge, a carico dell'istituto, l'obbligo di vigilare sulla sicurezza e sulla incolumità dell'allievo nel tempo in cui questi fruisce della prestazione scolastica in tutte le sue espressioni, anche al fine di evitare che l'allievo procuri danno a se stesso. Quanto all’insegnante dipendente dell'istituto scolastico, tra quest’ultimo e l’allievo si instaura, per contatto sociale, un rapporto giuridico, nell'ambito del quale l'insegnante assume, nel quadro del complessivo obbligo di istruire ed educare, anche uno specifico obbligo di protezione e vigilanza, al fine di evitare che l'allievo si procuri da solo un danno alla persona. Pertanto, nelle controversie instaurate per il risarcimento del danno da cd. autolesione nei confronti dell'istituto scolastico, è applicabile il regime probatorio desumibile dall'art. 1218 c.c., sicché, mentre l'attore deve provare che il danno si è verificato nel corso dello svolgimento del rapporto, sull'altra parte incombe l'onere di dimostrare che l'evento dannoso è stato determinato da causa non imputabile nè alla scuola, nè all'insegnante. Il Tribunale ha poi esaminato gli specifici oneri probatori gravanti sulle parti in giudizio: in caso di danno da c.d. autolesione, il danneggiato deve dimostrare non soltanto che il danno si è verificato durante l'orario scolastico, ma anche che è stato causato dall'omissione di controllo o dalla colpa dell'insegnante; solo se il danneggiato-creditore ha assolto al proprio onere probatorio, è onere dell’istituto scolastico-debitore dimostrare la causa imprevedibile ed inevitabile dell'impossibilità dell'esatta esecuzione della prestazione. Si tratta, dunque, di una una presunzione di colpa che può essere vinta mediante la prova, anche indiziaria, della non imputabilità alla scuola e agli insegnanti dell'evento dannoso, fermo restando che grava sull’istante l'onere di allegare e provare l'esistenza del nesso causale tra la condotta del soggetto asseritamente inadempiente ed il danno lamentato. Non va, inoltre, dimenticato che il contenuto del dovere di vigilanza non è astratto e assoluto, bensì dipende dall'età e dal normale grado di maturazione degli alunni, di modo che che esso va parametrato alle circostanze del caso concreto. Orbene, nel caso specifico, l’infortunio si è verificato durante l’ora di educazione fisica, nel corso della quale si svolgeva una partita di calcio a cinque. E’ risultato pacifico, nella fase istruttoria del giudizio, che il sinistro si è verificato alla presenza dell'insegnante il quale, al momento del fatto, vigilava su tutti gli alunni riuscendo pertanto a soccorrere tempestivamente il ragazzo. Un testimone ha riferito che la lesione al menisco non si è verificata per uno scontro tra alunni, bensì per uno scatto repentino posto in essere dal ragazzo, mentre correva sul campo di gioco; dinamica che lui stesso ha riferito nell’immediatezza dell’evento, tanto da essere stata trascritta in una relazione di servizio depositata in giudizio dalla scuola. Nell'atto introduttivo del giudizio, tuttavia, il danneggiato non ritenendo necessario ricostruire con esattezza la dinamica della caduta, non ha precisato le modalità con cui si è verificato l'infortunio, deducendo semplicemente di essere caduto a terra, durante lo svolgimento della lezione, procurandosi delle lesioni a carico dell’arto inferiore sinistro, limitandosi in tal modo ad affermare automaticamente la responsabilità in capo all’istituto scolastico. Ciò premesso, è evidente che l’insegnante, presente al momento del sinistro, nulla avrebbe in concreto potuto fare per tentare di evitare il danno, non potendosi esigere, né tanto meno individuare una condotta alternativa che potesse prevenire l’evento. Il dovere di vigilanza, infine, deve essere commisurato in modo inversamente proporzionale all'età ed al grado di maturazione degli alunni, di modo che, con l'avvicinamento degli stessi alla maggiore età, l'espletamento di tale dovere non richiede la continua presenza degli insegnanti, purché non manchino le più elementari misure organizzative dirette a mantenere la disciplina tra gli allievi. Ebbene, poiché al momento dell’evento l'alunno aveva 18 anni, il Tribunale ha ritenuto che l'ordinaria vigilanza prestata sugli alunni dall'insegnante dell'istituto ove si è verificato il sinistro fosse quella richiesta dalle circostanze del caso concreto, non potendosi, di certo, affermare la necessità di un'assistenza e controllo speciale nei confronti di un alunno maggiorenne che si esercitava nel gioco del calcio. Né il ragazzo ha dedotto alcun inadempimento da parte della scuola, né ha allegato ad esempio che lo stato dei luoghi fosse tale da richiedere particolari accortezze da parte dell’istituto, elementi neppure emersi nella fase istruttoria del giudizio. Così come non è emerso che l'insegnante si fosse allontanato o che avesse indicato agli alunni il compimento di attività anomale o pericolose. In definitiva, alla luce degli atti di causa, il Tribunale ha respinto la domanda del danneggiato, escludendo che vi sia stata alcuna negligenza od omissione di vigilanza sugli allievi da parte dell'insegnante, il quale nulla poteva fare rispetto all'improvviso cambio direzione operato dall’alunno e a seguito del quale quest'ultimo riportava lesioni personali.

Sentenza 18/07/2025 n° 1260
Area: Giurisprudenza

Il giudizio di non ammissione di un alunno alla classe successiva non può ritenersi viziato a causa della mancata attivazione delle attività di recupero, o degli oneri di informazione circa l'andamento scolastico; deve, infatti, considerarsi che tale giudizio si basa esclusivamente sull'accertamento dell'insufficiente preparazione dello studente, senza che ad esso possa riconnettersi alcun intento punitivo, sicché l'incompleta, carente od omessa attivazione dei corsi di recupero da parte della scuola, in violazione dell'art. 11, comma 2, d.lgs. n. 59 del 2004, nella parte in cui è previsto che, sulla base degli esiti della valutazione periodica, le istituzioni scolastiche predispongono gli interventi educativi e didattici, ritenuti necessari al recupero e allo sviluppo degli apprendimenti, non incidono sulla legittimità e sull'autonomia del giudizio finale di non ammissione di un alunno, che si basa sull'insufficiente rendimento scolastico e quindi sulla non adeguata preparazione e maturazione per accedere alla successiva fase degli studi. Al fine di ottemperare all'obbligo di comunicazione ai genitori dello studente l'andamento scolastico di quest'ultimo, è sufficiente il semplice inserimento dei voti nel c.d. registro elettronico, al quale i genitori hanno accesso tramite username e password. Invero, il d.P.R. 22 giugno 2009 n. 122 prescrive l'esplicito obbligo per l'istituzione scolastica di tenere informati i genitori del rendimento scolastico del proprio figlio, ma nel caso in cui la scuola si avvalga del registro elettronico e consegni ai genitori le chiavi informatiche di accesso per la consultazione dello stesso, l'obbligo informativo deve ritenersi assolto. (Fattispecie nella quale uno studente di scuola secondaria di secondo grado non veniva ammesso alla classe successiva avendo riportato due insufficienze all’esito delle prove di recupero – cinque e mezzo in Francese e quattro in Scienze naturali. I genitori lamentavano in particolare la mancata attivazione del piano formativo personalizzato per studenti atleti, con il quale la scuola si era impegnata a consentire al minore di conciliare lo studio con gli impegni sportivi attraverso la previsione di misure metodologiche/didattiche per ciascuna materia. Il GA rileva, però, sul punto che i ricorrenti non hanno offerto la prova di avere costantemente e tempestivamente comunicato alla scuola il calendario degli impegni sportivi del figli in modo da attivare una proficua collaborazione con l’istituto scolastico, né hanno dimostrato che le prove di Scienze naturali si sono svolte, contrariamente a quanto previsto dal piano, a ridosso di una delle gare sportive del ragazzo.)

Ordinanza 16/09/2025 n° 25337
Area: Giurisprudenza

In tema di responsabilità contrattuale dell’istituto scolastico ex art. 1218 c.c., l’autonomo inciampo e la conseguente caduta dell’alunno all’interno dei locali scolastici, in assenza di specifiche carenze strutturali od organizzative e a fronte di un’adeguata vigilanza, integrano il caso fortuito idoneo a escludere la responsabilità della scuola, trattandosi di evento imprevedibile e non prevenibile neppure mediante la presenza del personale scolastico. La vigilanza può ritenersi adeguata anche se effettuata da un collaboratore scolastico nelle more del breve ritardo della maestra titolare della classe. (Nel caso di specie, un alunno era inciampato in classe durante un cambio d’ora, in un momento di temporanea assenza dell'insegnante, durante il quale la vigilanza era stata comunque assicurata dalla presenza della collaboratrice scolastica. La Corte ha respinto la richiesta di risarcimento dei genitori ritenendo che le modalità dell'accaduto rendessero l’evento tale da non poter essere scongiurato neppure dalla presenza della collaboratrice scolastica e -ove vi fosse stata- dell'insegnante titolare, andando, pertanto, a integrare il caso fortuito).

Sentenza 03/06/2025 n° 676
Area: Giurisprudenza

Durante l’ora di ricreazione, nei giardini di una scuola primaria, un allievo frequentante il quinto anno si procurava una distorsione al IV dito della mano destra. Nell’immediatezza, allertati i genitori, veniva apposto del ghiaccio sulla mano del bambino ma due giorni dopo, persistendo dolore e gonfiore alla mano, il bambino veniva condotto al Pronto Soccorso dove gli veniva diagnosticata una frattura della falange prossimale IV dito mano destra con apposizione del guanto gessato con stecca, riportando danni da invalidità temporanea e permanente. I genitori dunque agivano in giudizio per chiedere l’accertamento della responsabilità dell’istituto scolastico nella causazione del danno e la conseguente condanna al risarcimento del danno. Il Tribunale ha innanzitutto ritenuto applicabile la disciplina della responsabilità contrattuale di cui all’art. 1218 cod. civ., escludendo la responsabilità extracontrattuale prevista dall’art. 2048 cod. civ. il quale, avendo ad oggetto la presunzione di responsabilità degli insegnanti per il danno cagionato a un terzo da un fatto illecito dell’allievo, non può trovare applicazione nel caso in esame caratterizzato da un’ipotesi di c.d. autolesione dell’alunno. Pertanto, il danno cagionato dall’alunno verso sé determina la responsabilità dell’istituto scolastico e dell’insegnante di natura contrattuale, in virtù del vincolo “negoziale” che sorge al momento dell’accoglimento della domanda di iscrizione e della conseguente ammissione dell’allievo alla scuola. Da tale vincolo discende l’obbligo di vigilare sulla sicurezza e l’incolumità dell’allievo nel tempo in cui questi fruisce della prestazione scolastica, anche al fine di evitare che l’allievo procuri danno a sé stesso. Ne consegue che, per i danni subiti dall’alunno, la natura contrattuale della responsabilità ascrivibile all’istituto scolastico ed al singolo insegnante, implica l’assunzione dei cd. doveri di protezione (enucleati dagli artt. 1175 e 1375 c.c.) che devono essere individuati e commisurati all’interesse del creditore (l’alunno) del rapporto obbligatorio, sicché, nell’ipotesi di un minore affidato dalla famiglia per la formazione scolastica, essi impongono il controllo e la vigilanza del minore fino a quando non intervenga un altro soggetto responsabile, chiamato a succedere nell’assunzione dei doveri connessi alla relativa posizione di garanzia (ad esempio quando all’uscita il docente consegna il minore al genitore). Tale responsabilità può essere superata solo se i soggetti tenuti alla vigilanza dimostrano di non aver potuto impedire il fatto, allorché l’evento, per la sua estrema occasionalità, fulmineità ed eccezionalità, risulti tale da non poter essere previsto, né tanto meno evitato, nonostante l’adozione di ogni forma di cautela ed iniziativa volte alla sicurezza degli allievi. In tali ipotesi, emerge la c.d. culpa in vigilando, la quale consiste in un particolare comportamento o in un’omissione del docente (e, comunque, del personale scolastico tenuto alla vigilanza) nell’adozione, o meno, delle misure più idonee ed atte a prevenire ed evitare la verificazione del fatto lesivo. Il Tribunale ha poi ribadito che il danneggiato-creditore ha l’onere di provare l’esistenza del nesso causale tra la condotta o l’omissione del docente-inadempiente e il danno di cui si chiede il risarcimento; solo in presenza di tale prova, infatti, l’istituto scolastico potrà dirsi gravato dall’onere di fornire la prova di aver correttamente adempiuto alla propria prestazione o dell'impossibilità di adempiere per causa ad esso non imputabile. Nella fattispecie concreta, il minore si è fatto male nell’ora della ricreazione mentre rincorreva alcuni compagni e dalla prova testimoniale è emerso che durante l’ora della ricreazione non vi era un numero di insegnanti o collaboratori sufficiente a poter prevenire eventi dannosi per gli alunni, d’altro canto prevedibili visto che gli allievi, durante la ricreazione, sono inclini a comportamenti maggiormente attivi rispetto a quelli normalmente tenuti in classe durante le lezioni. Essendovi dunque presente una sola insegnante nel giardino della scuola, non può ritenersi provata l’adozione di un comportamento idoneo a evitare l’evento dannoso. In sostanza, nel giudizio in esame i genitori-attori hanno adempiuto all’onere di provare il nesso causale tra l’inadempimento della scuola e il danno, mentre la scuola non è riuscita a dimostrare che l’evento si fosse verificato per caso fortuito. Il Tribunale ha così affermato la responsabilità della scuola, condannando il Ministero, con manleva da parte dell’assicurazione, al risarcimento del danno pari a circa 4.500, 00 euro, come quantificato dal consulente tecnico d’ufficio.

Sentenza 05/05/2017 n° 10910
Area: Giurisprudenza

Va riconosciuta la natura presuntivamente vessatoria della clausola contrattuale che sanziona indiscriminatamente il recesso dell'allievo, assistito o meno da un giustificato motivo, per di più quando, come nel caso di specie, la somma dovuta dall'allievo nel caso di recesso - che viene sostanzialmente ad integrare una penale - non trovi riscontro in analoga sanzione a carico del professionista. Infatti, una simile clausola riserva implicitamente al professionista - che, in applicazione dei principi generali in materia contrattuale, risponde solo nel caso di recesso colpevole - un trattamento differenziato e migliore, in contrasto, tra l'altro, con l'art. 1469 bis c.c., n. 7, oggi corrispondente all'art. 33, lett. g), del Codice del Consumo. (Nel caso di specie, la madre di un bambino di scuola materna nel gennaio 2007 aveva iscritto il proprio figlio presso l’istituto gestito dalla Cooperativa ricorrente per l’a.s. 2007/2008, rassicurata dal responsabile della struttura dalla possibilità di revocare l’iscrizione prima dell’inizio delle lezioni al solo costo della quota di iscrizione. Manifestata la volontà di revocare l’iscrizione il successivo settembre, l’istituto richiedeva alla madre il pagamento dell’intera retta annuale, che la donna rifiutava di pagare invocando l’applicazione della normativa a tutela del consumatore e lamentando la vessatorietà della clausola contrattuale. In primo grado, il Tribunale di Busto Arsizio riteneva non vessatoria la clausola che prevedeva, nel caso di abbandono o non frequenza della scuola, l'obbligo del genitore contraente di corrispondere l'intera retta. La Corte di Appello di Milano, adita dalla donna, riformava la sentenza del primo giudice ritenendo, al contrario, la vessatorietà della previsione che poneva in capo al genitore l’obbligo di corrispondere l’intera quota nonostante la mancanza di frequenza dell’alunno, conclusione confermata dalla Corte di Cassazione con la pronuncia in analisi.)

Decreto 27/06/2019
Area: Giurisprudenza

La mancata pubblicazione nella c.d. bacheca on-line della scuola delle comunicazioni indicate dalla organizzazione sindacale, pubblicate solo nella bacheca fisica esistente nella sede principale del plesso scolastico, integra gli estremi della condotta antisindacale. Il contratto integrativo aziendale, infatti, contempla espressamente, quale forma di garanzia della comunicazione interna all’istituto, cumulativa e non alternativa alla bacheca fisica, il sito web istituzionale della scuola e sul punto non sussiste alcuna discrezionalità in capo al datore di lavoro in ordine alle modalità di affissione e pubblicazione e alla scelta del materiale da pubblicare. Anche la eventuale trasmissione via email a tutti i docenti del plesso delle comunicazioni in questione – circostanza peraltro non dimostrata – non può ritenersi modalità alternativa alla pubblicazione ed esaurire con ciò gli obblighi del datore di lavoro ex art. 25 St. lav. in quanto trattasi di trasmissione individuale, seppur cumulativa, e non di “pubblicazione”, la quale implica la possibilità di accesso e consultazione da parte della generalità degli interessati senza che questi debbano essere preventivamente individuati. Il Piano annuale delle attività dei docenti – che costituisce determinazione fondamentale per la disciplina degli obblighi di lavoro dei docenti – deve essere deliberato dal Collegio dei docenti nel quadro della programmazione dell’azione didattico-educativa e non può essere né adottato né modificato unilateralmente dal Dirigente scolastico. Il mancato rispetto della procedura per la formazione del predetto Piano annuale non può essere sanzionata quale condotta antisindacale tramite il procedimento di cui all’art. 28 St. Lav., tenuto conto che, vista l’avvenuta informazione circa l’adozione ed il contenuto del piano annuale delle attività alle organizzazioni sindacali, prevista dalla norma quale adempimento successivo all’adozione del piano stesso, non possono ritenersi lese né le possibilità di azione dell’organizzazione sindacale né il suo prestigio.

Sentenza 25/07/2025 n° 6630
Area: Giurisprudenza

E’ legittima la revoca del riconoscimento dello status di scuola paritaria in quanto, a fronte dell’accertamento di una serie di irregolarità e carenze, tra cui l’insufficienza delle aule e il superamento della capienza massima consentita delle aule (comunque non essendo risolutiva la suddivisione in turni), l’indebito uso dei laboratori come aule, l’elevato tasso di assenteismo degli studenti, la mancata compilazione del registro elettronico in più classi e le irregolarità negli esami di idoneità e integrativi, l’istituto scolastico nel contraddittorio procedimentale non ha fornito adeguati riscontri, essendosi limitato a smentire i fatti accertati dagli ispettori o a controdedurre in modo generico gli esiti dell’ispezione. Ne deriva che alcuna ulteriore attività di accertamento risultava necessaria ai fini della conclusione del procedimento e che l’adozione del provvedimento di revoca costituiva atto dovuto in relazione alla sussistenza di una situazione di fatto caratterizzata dalla carenza dei requisiti per ottenere la parità.

29/09/2025 n° 1
Area: Prassi, Circolari, Note

MINISTERO DEL LAVORO E DELLE POTICHE SOCIALI

Dipartimento per le politiche del lavoro, previdenziali,
assicurative e per la salute e la sicurezza nei luoghi di lavoro

Interpello n. 1/2025
Commissione per gli interpelli in materia di salute e sicurezza sul lavoro
(Articolo 12 del decreto legislativo 9 aprile 2008, n. 81)

Oggetto: Interpello ai sensi dell'articolo 12 del d.lgs. n. 81/2008 e successive modificazioni “percorsi formativi in materia di sicurezza per i docenti delle scuole di ogni ordine e grado e delle Università”. Seduta della Commissione del 18 settembre 2025.

L’Università degli Studi di Udine ha avanzato istanza di interpello per conoscere il parere di questa Commissione in merito ai: “percorsi formativi in materia di salute e sicurezza sul lavoro, rivolti al personale docente delle scuole di ogni ordine e grado e al personale docente delle università, fissati dall’art. 37, comma 2 del D. Lgs. 81/2008 e dagli accordi Stato Regioni in vigore (Accordi Stato Regioni 21.12.2011 G.U. Serie Generale n.8 del 11.01.2012 e 07.07.2016 – G.U. 193 del 19.08.2016)”.
In particolare, viene chiesto di chiarire se “il personale docente che svolge mansioni che non li espongano ad un rischio medio o alto può frequentare i corsi individuati per il rischio basso, fatto salvo che comunque i contenuti e la durata della formazione sono subordinati all'esito della valutazione dei rischi effettuata dal datore di lavoro”.
Al riguardo, premesso che:
- L’articolo 37, comma 1, lettera b), del decreto legislativo n. 81 del 9 aprile 2008 sancisce che “Il datore di lavoro assicura che ciascun lavoratore riceva una formazione sufficiente ed adeguata in materia di salute e sicurezza, anche rispetto alle conoscenze linguistiche, con particolare riferimento a: b) rischi riferiti alle mansioni e ai possibili danni e alle conseguenti misure e procedure di prevenzione e protezione caratteristici del settore o comparto di appartenenza dell’azienda”;
- l’accordo, ai sensi dell’articolo 37, comma 2, del decreto legislativo 9 aprile 2008, n. 81, tra il Governo, le regioni e le Province autonome di Trento e di Bolzano, finalizzato alla individuazione della durata e dei contenuti minimi dei percorsi formativi in materia di salute e sicurezza, di cui al medesimo decreto legislativo n. 81 del 2008 - Rep. atti n. 59/CSR del 17 aprile 2025, nelle “Disposizioni finali” ha previsto l’abrogazione dell’ accordo sancito il 21 dicembre 2011 in sede di Conferenza permanente per i rapporti tra il Governo e le Regioni e le Province autonome ai sensi dell’articolo 37, comma 2, del decreto legislativo 9 aprile 2008, n. 81, pubblicato nella Gazzetta Ufficiale n. 8 del 11/01/2012 (Rep 221/CSR) e dell’accordo sancito il 7 luglio 2016 in sede di Conferenza permanente per i rapporti tra il Governo e le Regioni e le Province autonome finalizzato alla individuazione della durata e dei contenuti minimi dei percorsi formativi per i responsabili e gli addetti dei servizi di prevenzione e protezione, ai sensi dell’articolo 32 del decreto legislativo 9 aprile 2008, n. 81 e successive modificazioni, pubblicato nella Gazzetta Ufficiale n. 193 del 19/08/2016 (Rep 128/CSR);
- il citato accordo Stato Regioni - Rep. atti n. 59/CSR del 17 aprile 2025 - nella Parte II, rubricata “Corsi di formazione”, Punto 2.1 “Corso per lavoratori” prevede che: “La formazione specifica deve essere riferita ai rischi individuati sulla base della valutazione del rischio e, quindi, mirare ai rischi specifici dell’attività, incentrandosi sui pericoli e rischi insiti nelle mansioni specifiche e sulle relative conseguenze da prevenire nonché sull’individuazione e la conoscenza delle misure di sicurezza da adottare nello svolgimento delle proprie mansioni e di contesto lavorativo. Con riferimento alla lettera b) del comma 1 e al comma 3 dell’articolo 37 del D.lgs. n. 81/08, la formazione deve (omissis) avere durata minima di 4, 8 o 12 ore, in funzione dei rischi riferiti alle mansioni e ai possibili danni e alle conseguenti misure e procedure di prevenzione e protezione caratteristici del settore o comparto di appartenenza dell’azienda. Tali aspetti e i rischi specifici di cui ai Titoli del D.lgs. n. 81/08 successivi
al I costituiscono oggetto della formazione” e che la durata minima fa riferimento “alla classificazione dei settori di cui all’Allegato IV (Individuazione macrocategorie di rischio e corrispondenze ATECO 2007)”;
- la suddetta tabella codici ATECO 2007 classifica il settore Istruzione (sezione P, codice 85) come attività a rischio medio, per il quale la formazione specifica è dunque della durata di almeno 8 ore;
- il menzionato accordo Stato Regioni - Rep. atti n. 59/CSR del 17 aprile 2025 - prevede nella Parte II, rubricata “Corsi di formazione”, Punto 2.1.1 “Condizioni particolari” che “I lavoratori a prescindere dal settore di appartenenza, che non svolgano mansioni che comportino la loro presenza, anche saltuaria, nei reparti produttivi, possono frequentare i corsi individuati per il rischio basso con le relative modalità di erogazione (omissis). Rimane comunque salvo l’obbligo del datore di lavoro di assicurare la formazione specifica secondo le risultanze della valutazione dei rischi”;
- il citato accordo Stato Regioni - Rep. atti n. 59/CSR del 17 aprile 2025 - prevede nella Parte IV, rubricata “Indicazioni metodologiche per la progettazione, erogazione e monitoraggio dei corsi”, Punto 1.2 “Analisi dei fabbisogni formativi e contesto” che “Nel definire i fabbisogni formativi il soggetto formatore, di concerto con i datori di lavoro, laddove necessario normalmente analizza e definisce (omissis)”;
- l’allegato A dell’accordo 25 luglio 2012 - Accordo tra il Governo, le Regioni e le Province autonome di Trento e di Bolzano, sul documento proposto dal Ministero del lavoro e delle politiche sociali recante «Adeguamento e linee applicative degli accordi ex articolo 34, comma 2 e 37, comma 2 del decreto legislativo 9 aprile 2008, n. 81 e successive modificazioni e integrazioni». (Repertorio atti n. 153 /CSR del 25 luglio 2012) prevedeva che: «L'accordo ex articolo 37 del "testo unico" di salute e sicurezza sul lavoro espone, al punto 4, nella parte denominata "Condizioni particolari", il principio per il quale: "I lavoratori di aziende, a prescindere dal settore di appartenenza, che non svolgano mansioni che comportino la loro presenza, anche saltuaria, nei reparti produttivi, possono frequentare i corsi individuati per il rischio basso". In tal modo viene esplicitato il principio generale in forza del quale la "classificazione" dei lavoratori, nei soli casi in cui esistano in azienda soggetti non esposti a medesime condizioni di rischio, può essere fatta anche tenendo conto delle attività concretamente svolte dai soggetti medesimi, avendo a riferimento quanto nella valutazione dei rischi; ad esempio, i lavoratori di una azienda metallurgica che non frequentino reparti produttivi o i
lavoratori che svolgano semplice attività d'ufficio saranno considerati come lavoratori che svolgano una attività a rischio "basso" e non lavoratori (come gli operai addetti alle attività dei reparti produttivi) che svolgano una attività che richiederebbe i corsi di formazione per il rischio "alto" o "medio". Analogamente, ove la valutazione dei rischi di una azienda la cui classificazione ATECO prevede l’avvio dei lavoratori a corsi a rischio "basso" evidenzi l'esistenza di rischi particolari, tale circostanza determina la necessità di programmare e realizzare corsi adeguati alle effettive condizioni di rischio (quindi, di contenuto corrispondente al rischio "medio" o "alto")»;
- l’interpello n. 11 del 24 ottobre 2013 della Commissione per gli interpelli in materia di salute e sicurezza sul lavoro nel quale veniva esplicitato: «la formazione - che deve essere “sufficiente ed adeguata” - va riferita all’effettiva mansione svolta dal lavoratore, considerata in sede di valutazione dei rischi; pertanto la durata del corso può prescindere dal codice ATECO di appartenenza dell’azienda» la Commissione ritiene che, in considerazione delle premesse sopra citate, il personale docente
che, sulla base della valutazione dei rischi aziendali effettuata dal datore di lavoro, svolga attività lavorativa che non comporti, anche saltuariamente, un rischio medio o alto, può partecipare a corsi di formazione specifica in materia di salute e sicurezza nei luoghi di lavoro progettati per la categoria di rischio basso.

Il Presidente della Commissione
Dott.ssa Maria Teresa Palatucci

(firmato digitalmente)

25/09/2025 n° 529
Area: Prassi, Circolari, Note

04/04/2025 n° 2773
Area: Prassi, Circolari, Note

Ministero dell'Istruzione e del Merito

Dipartimento per le risorse, l’organizzazione e l’innovazione digitale

Dipartimento per il sistema educativo di istruzione e formazione

Alle Istituzioni Scolastiche ed educative Statali e Paritarie
Ai Direttori generali/Dirigenti titolari
degli Uffici Scolastici Regionali

e p.c. All’Ufficio di Gabinetto
del Ministero dell’istruzione e del merito

Al Sovrintendente agli Studi della Valle d’Aosta

Al Sovrintendente Scolastico
della Provincia di Bolzano

Al Dirigente del Dipartimento Istruzione
per la Provincia Autonoma di Trento

Oggetto: Indicazioni alle Istituzioni scolastiche ed educative statali in merito alle modalità di gestione del registro elettronico

Con la presente nota, il Ministero dell’Istruzione e del Merito (a seguire, anche «Ministero») intende fornire alle Istituzioni scolastiche ed educative statali (a seguire, anche «Istituzioni Scolastiche» o «Istituzioni») indicazioni operative (a seguire, anche «Indicazioni Operative» o «Indicazioni») in merito alle modalità di gestione dei registri scolastici online di cui all’art. 7, comma 31, del D.L. n. 95/2012 (a seguire, anche «Registro/i») e degli eventuali rapporti di fornitura con operatori economici (a seguire, anche «Fornitori»).
In via preliminare, si evidenzia che il Registro presenta particolari profili di delicatezza, essendo strettamente connesso all’espletamento di funzioni pubbliche essenziali proprie delle Istituzioni Scolastiche, con conseguente coinvolgimento di molteplici dati personali di studentesse e studenti, genitori, dirigenti scolastici e personale scolastico, come anche precisato dal Garante per la Protezione dei Dati Personali all’interno del Vademecum «La scuola a prova di privacy», Ed. 2023 (1). I Registri in questione, pertanto, devono essere esclusivamente orientati al soddisfacimento delle finalità di organizzazione e gestione delle attività educative nel pieno rispetto della normativa vigente.
Ferma restando l’autonomia delle Istituzioni Scolastiche, si riportano a seguire alcuni aspetti di particolare rilevanza, previsti dalla normativa e dalle buone prassi di settore, dei quali se ne raccomanda la puntuale adozione.
L’utilizzo del Registro è previsto dal citato art. 7, comma 31, del D.L. n. 95/2012, il quale dispone che «A decorrere dall'anno scolastico 2012-2013 le istituzioni scolastiche e i docenti adottano registri on line e inviano le comunicazioni agli alunni e alle famiglie in formato elettronico».

In particolare, il Registro consente:
(i) la gestione delle attività didattiche da parte dei docenti (i.e., assenze, voti, giudizi, annotazioni sulle lezioni);
(ii) la presa visione dell’attività scolastica svolta dalle studentesse e dagli studenti da parte delle famiglie (i.e., compiti, lezioni, assenze, voti);
(iii) la trasmissione di comunicazioni istituzionali da parte del Ministero e delle Istituzioni alle famiglie, alle studentesse e agli studenti, anche alla luce della Nota MIM n. 788 del 31 gennaio 2025.
Il Registro non deve, pertanto, contenere servizi o attività non aderenti rispetto alla finalità di cui sopra quali, a titolo esemplificativo e non esaustivo: (i) svolgimento di iniziative commerciali o di marketing, (ii) trasferimento di dati a soggetti terzi, salvi i casi in cui ciò sia strettamente connesso al funzionamento del Registro (i.e., servizi cloud), (iii) messa a disposizione di contenuti non essenziali (i.e., mini-games, oroscopo, chat), (iv) esposizione di banner pubblicitari o rinvio a siti di terze parti contenenti proposte commerciali di qualunque categoria merceologica (i.e. acquisto di libri, di materiale scolastico, etc.).
Si coglie questa occasione per fornire nuovamente alcune importanti istruzioni e indicazioni, di pronta consultazione, in merito alle modalità di identificazione e di autenticazione, di integrazione, di interoperabilità, di data-protection, di sicurezza dei dati e di trasferibilità dei dati contenuti nel Registro (Allegato 1).
Le indicazioni operative fornite potranno essere periodicamente aggiornate dal Ministero alla luce delle evoluzioni normative e tecnologiche rilevanti per le questioni trattate.
Con riferimento all’uso del Registro, si ricorda, infine, la nota 11 luglio 2024, prot. n. 5274, avente ad oggetto “Disposizioni in merito all’uso degli smartphone e del registro elettronico nel primo ciclo di istruzione”, e le raccomandazioni in merito alla necessità “di accompagnare la notazione sul registro elettronico delle attività da svolgere a casa con la notazione giornaliera sui diari/agende personali”, in modo tale che “ciascun alunno potrà acquisire una crescente autonomia nella gestione degli impegni scolastici, senza dover ricorrere necessariamente all’utilizzo del registro elettronico”.
In caso di quesiti è possibile richiedere assistenza scrivendo al supporto «Help Desk Amministrativo Contabile» (HDAC), accedendo al seguente link: istruzione.it/hdac.
L’occasione è gradita per porgere cordiali saluti.

DIPARTIMENTO PER IL SISTEMA EDUCATIVO DI ISTRUZIONE E DI FORMAZIONE 

(Firmato digitalmente da Carmela Palumbo)

DIPARTIMENTO PER LE RISORSE, L’ORGANIZZAZIONE E L’INNOVAZIONE DIGITALE

(Firmato digitalmente da Nando Minnella)

(1) Il Vademecum «La scuola a prova di privacy», Ed. 2023, è reperibile al seguente link Scuola - Garante Privacy. Con riferimento al trattamento dei dati personali nell’ambito delle Istituzioni Scolastiche, si riporta a seguire il link delle FAQ elaborate dal Garante per la Protezione dei Dati Personali FAQ - Scuola e privacy - Garante Privacy.

*****

ALLEGATO 1
VADEMECUM REGISTRO ELETTRONICO

1) Procedura di identificazione e autenticazione
In coerenza con quanto previsto dall’art. 24, comma 4, del D.L. n. 76/2020 e dall’art. 64 del CAD, l’accesso al Registro deve avvenire esclusivamente mediante l’utilizzo di identità digitali (i.e., SPID, CIE, eIDAS).
Tali modalità di accesso, infatti, consentono di garantire un adeguato livello di sicurezza, impedendo o limitando l’accesso al Registro medesimo a soggetti non autorizzati. A tal fine è importante che, progressivamente, l’identità digitale diventi la preponderante modalità di accesso al registro.
Si ricorda inoltre che, al fine di semplificare gli adempimenti tecnico-amministrativi, il Ministero ha messo a disposizione delle Istituzioni Scolastiche e dei Fornitori che implementano pacchetti software una piattaforma di autenticazione c.d. «Gateway delle identità» o «eID Gateway», che agevola l’integrazione con i sistemi «Entra con SPID», «Entra con CIE» e «Login with eIDAS», facilitando l’accesso alle applicazioni con cui le Istituzioni medesime erogano servizi a studentesse e studenti, genitori, docenti e personale scolastico.
Ai fini di cui sopra, il suddetto «Gateway delle identità» supporta anche l’utilizzo dello SPID Minori, consentendo agli alunni e agli studenti minorenni di poter utilizzare i servizi sia tramite SPID che CIE.

2) Interoperabilità e integrazione con gli ulteriori servizi resi disponibili dal Ministero
Ai sensi di quanto previsto dagli artt. 12 e 64-bis del CAD, il Registro deve essere interoperabile con le applicazioni digitali del Ministero, al fine di assicurare la qualità, la continuità e la condivisione dei servizi offerti dal Ministero medesimo nei confronti di studentesse e studenti, genitori, dirigenti scolastici e personale scolastico.
In particolare, il Registro deve consentire l’interoperabilità con il Sistema Informativo dell’Istruzione (SIDI), utilizzato per monitorare, gestire e fornire servizi legati al mondo della scuola e con le principali applicazioni in uso quali ad esempio, l’Anagrafe Nazionale degli Studenti (ANS), la Piattaforma Unica, il servizio Pago In Rete.

3) Accessibilità
Il Registro deve garantire il rispetto delle previsioni in materia di accessibilità dei siti web e delle applicazioni mobili per le persone con disabilità, al fine di erogare Servizi fruibili, senza discriminazioni, nei confronti dell’intera platea di utenti (i.e., Legge del 9 gennaio 2004, n. 4, recante «Disposizioni per favorire e semplificare l'accesso degli utenti e, in particolare, delle persone con disabilità agli strumenti informatici»; D.Lgs. n. 106/2018, recante «Attuazione della direttiva (UE) 2016/2102 relativa all’accessibilità dei siti web e delle applicazioni mobili degli enti pubblici»;
Linee Guida sull’accessibilità degli strumenti informatici, adottate dall’Agenzia per l’Italia Digitale, da ultimo aggiornate il 29 maggio 2023, che definiscono i requisiti tecnici per l’accessibilità degli strumenti informatici, ivi inclusi i siti web e le applicazioni mobili).

4) Data Protection
Le Istituzioni Scolastiche, in relazione ai trattamenti effettuati per il tramite del Registro, ricoprono la funzione di Titolari del trattamento dei dati personali, in quanto, ai sensi dell’art. 4, par. 1, n. 7, del GDPR, determinano le finalità e i mezzi del trattamento di dati personali. Per tale motivo, devono garantire che i Servizi affidati siano rispettosi dei principi in materia di protezione dei dati personali come riportati all’interno dell’art. 5 del GDPR ossia:
(i) liceità, correttezza e trasparenza nel trattamento dei dati personali dell’interessato, (ii) limitazione della finalità;
(iii) minimizzazione dei dati, (iv) esattezza dei dati, (v) limitazione della conservazione, (vi) integrità e riservatezza nel trattamento dei dati e (vii) responsabilizzazione.
Tra i principali adempimenti che le Istituzioni Scolastiche, nell’ambito della propria autonomia didattica e organizzativa, sono tenute ad eseguire in qualità di Titolari, si segnalano i seguenti:
(i) esecuzione di una valutazione di impatto sul trattamento dei dati personali (DPIA), al fine di individuare i rischi connessi al trattamento eseguito (artt. 35 e ss. del GDPR);
(ii) rilascio agli interessati di un’idonea informativa sul trattamento dei dati personali, ai sensi degli artt. 13 e 14 del GDPR;
(iii) nomina dei soggetti autorizzati al trattamento dei dati personali (art. 29 del GDPR e art. 2–quaterdecies del D.Lgs. n. 196/2003).
Per adempiere a tali attività, le Istituzioni Scolastiche possono opportunamente coinvolgere anche i rispettivi «Data Protection Officer».
Le Istituzioni Scolastiche nominano, inoltre, all’interno di uno specifico contratto o altro atto giuridico, i Fornitori quali Responsabili del trattamento dei dati, che ai sensi dell’art. 28 del GDPR, a titolo esemplificativo, provvedono
a:
(a) trattare i dati personali per le sole finalità specificate e nei limiti dell’esecuzione delle prestazioni contrattuali;
(b) garantire la riservatezza dei dati personali trattati nell’ambito del contratto e verificare che le persone autorizzate a trattare i dati personali in virtù del contratto: (i) si impegnino a rispettare la riservatezza o siano sottoposti a un obbligo legale appropriato di segretezza, (ii) ricevano la formazione necessaria in materia di protezione dei dati personali e (iii) trattino i dati personali osservando le istruzioni impartite dal Titolare;
(c) informare il Titolare tempestivamente e, in ogni caso senza ingiustificato ritardo dall’avvenuta conoscenza, di ogni violazione di dati personali (cd. data breach), ai sensi degli artt. 33 e 34 del GDPR.

5) Sicurezza dei dati trattati
Tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento, gli atti con i quali si procede all’affidamento del Registro devono prevedere che l’operatore economico adotti, in qualità di Responsabile, tutte le opportune misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio (art. 32 del GDPR) quali, ad esempio:
(a) misure di «Business continuity», che hanno lo scopo di mantenere la continuità delle operazioni essenziali, qualora si verifichino situazioni di crisi o incidenti di sicurezza che causino l’indisponibilità dei sistemi per un certo lasso di tempo;
(b) misure di «Disaster Recovery», che garantiscono la capacità di ripristinare i sistemi compromessi nel modo più rapido e sicuro possibile;
(c) adozione di soluzioni cloud rispondenti alla specifica normativa di settore, ivi compresa la disciplina contenuta all’interno del «Regolamento per le Infrastrutture digitali e per i servizi cloud per la Pubblica Amministrazione, ai sensi dell’articolo 33-septies, comma 4, del Decreto-Legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla Legge 17 dicembre 2012, n. 211», adottato con Decreto Direttoriale dell’Agenzia per la cybersicurezza nazionale n. 21007 del 27 giugno 2024.

6) Trasferibilità dei dati contenuti nel Registro
I dati contenuti nel Registro devono essere pienamente e facilmente trasferibili ad altri Registri e/o applicazioni rispetto a specifiche esigenze delle Istituzioni scolastiche.

27/02/2025 n° 115
Area: Prassi, Circolari, Note

[doc. web n. 10126123]

Provvedimento del 27 febbraio 2025

Registro dei provvedimenti
n.  115 del 27 febbraio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo.

Con reclamo presentato all’Autorità da un avvocato, in nome e per conto della sig.ra XX e del sig.XX, è stata lamentata la pubblicazione, ad opera di una docente della scuola primaria dell’Istituto comprensivo Statale Don Lorenzo Milani di Guidonia Montecelio (di seguito, l’Istituto), sul registro elettronico, del Piano educativo individualizzato (PEI) del figlio dei reclamanti.

2. L’attività istruttoria.

Con nota del XX (prot. n. XX) rispondendo alla richiesta di informazioni formulata da questa Autorità, la dirigente scolastica dell’Istituto, ha rappresentato, in particolare:

- “in data XX ricevo comunicazione da parte dell’avvocato […] di "segnalazione violazione regolamento privacy per illegittima diffusione dati sanitari del minore […]";

- “il legale afferma che “in data XX si è verificato un grave episodio di diffusione di dati sensibili giacché nella chat di classe, l’insegnante […] ha postato il Piano Educativo Individuale del figlio dei miei assistiti diffondendo dati sensibili che dovevano rimanere riservati in quanto afferenti allo stato di salute psicofisica del minore ed alle sue problematiche”;

- “venuta solo allora a conoscenza dell’episodio, avvio procedura interna di indagine con prot. ris. N. XX del XX, notando però che lo screenshot finito sulla chat ed allegato dall’Avvocato, è relativo alla pagina di accesso sul registro del genitore dell’alunno”;

- “alla richiesta di chiarimenti, la Docente prontamente produce relazione acquisita con prot. ris. n.XX del XX. Di seguito i fatti accertati. In data XX, durante l’incontro di programmazione settimanale, la […], docente di sostegno di […] della classe IIIE, inseriva all’interno del registro elettronico, sezione Condivisione Documenti, il PEI per condividerlo con i genitori del minore (…). Dalla tendina richiamava la voce alunni e docenti, inseriva il nome dell’alunno interessato ed erroneamente anche la classe (…), di conseguenza il PEI, è risultato visibile a tutti i genitori della IIIE. Questo avveniva intorno alle ore 18.00. Subito dopo la docente incontra la collega di classe che aveva già ricevuto la telefonata della [… reclamante] e si rende conto di aver commesso un errore; pertanto, alle 18.22 corregge la visualizzazione (…). In quel lasso di tempo, il genitore di […] ha visionato il registro, avvisato la signora […] e postato lo screenshot della pagina sulla chat di classe. (…). Nessuno, compreso la docente, ha ritenuto opportuno avvisare la scrivente o i miei collaboratori”;

- “è accertato che la docente […] ha commesso l’errore nella gestione della visualizzazione del documento, la diffusione dei dati è avvenuta dentro il registro, nell’ambito della classe del minore, non sulla chat dove l’informazione è stata divulgata dal citato genitore della classe. Avendo avuto notizia dell’infrazione 90 giorni dopo l’evento, la richiesta del file delle visualizzazioni al gestore del Registro elettronico comportava un esborso consistente in quanto istanza proveniente dall’Istituto e non da Autorità preposta; pertanto, non è stato possibile verificare se il documento fosse stato scaricato da qualche genitore. I dati personali violati erano costituiti dai codici della disabilità riportati in una sezione del PEI”;

- “la condivisione del PEI, con il genitore avviene nell’ambito della normativa a tutela della disabilità in particolare del XX del XX. La scelta del registro, come strumento rapido di condivisione, è relativa al processo di digitalizzazione dell’Amministrazione, la visibilità dei singoli documenti, è riservata esclusivamente ai docenti e ai genitori degli alunni interessati. Al Gestore del Registro, in occasione del rinnovo del contratto, viene dato l’incarico del trattamento dati”;

- “nessuna certificazione relativa a dati sanitari è stata e viene inserita nel registro. A seguito dell’infrazione accertata dalla scrivente, si è provveduto ad epurare dei codici i format dei PEI e PDP e a vietare la Condivisione di tali documenti attraverso il Registro o altro mezzo digitale”;

- “nel merito dell’illegittima diffusione dei dati avvenuta in data XX, è stato già coinvolto il Responsabile della Protezione dei dati designato dell’Istituto, […], con il quale sono state concordate le misure correttive”.

Sulla base degli elementi acquisiti, l’Ufficio ha notificato, con nota del XX (prot. n. XX), all’Istituto, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, in quanto la pubblicazione del PEI del figlio dei reclamanti e quello predisposto per un altro alunno, contenenti dati personali, anche relativi alla salute degli interessati, seppure avvenuta in un’area riservata del registro elettronico non accessibile a chiunque, avrebbe dato luogo, nel caso di specie, a una comunicazione di dati personali a terzi in violazione degli artt. 5, 6 e 9 del Regolamento e 2-ter e 2-sexies del Codice.

Pertanto l’Ufficio ha invitato il predetto titolare a produrre scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

L’Istituto ha fatto pervenire le proprie memorie difensive, con nota del XX, (prot. n. XX), rappresentando, in particolare, che:

- “In data XX giunge reclamo da parte dell’Avvocato […] in merito alla diffusione di dati sensibili, il PEI, dell’alunno […] della classe IIIE primaria, nella chat di classe da parte dell’insegnante di sostegno […] avvenuta il giorno XX. Da indagini interne, avviate con prot. n. XX del XX, risulta che la diffusione dei dati da parte della docente non è avvenuta sulla chat di classe, ma all’interno del Registro in un’area riservata. La violazione contestata è durata un breve lasso di tempo, circa 22 minuti. Non si ha la prova che il documento sia stato scaricato in quanto lo screenshot allegato dall’Avvocato, prova soltanto la visibilità del documento nel Registro, ma non rivela il contenuto. Non è possibile, a distanza di così tanto tempo, ottenere il file log dal gestore del registro per verificare se e chi ha scaricato il PEI. Poiché il documento si trovava all’interno di un’area riservata del Registro, la visibilità era possibile solo ai genitori della classe IIIE, formata da 21 alunni. È impossibile determinare se in quei 22 minuti tutti abbiano fatto accesso al registro. Poiché non si ha prova riguardo l’apertura del documento da parte di soggetti terzi, la diffusione dei dati certa riguarda l’informazione che l’alunno […] ha un PEI, informazione nota a tutta la classe in quanto allo stesso era stata assegnata la docente di sostegno”;

- “la docente, per mero errore materiale, inserendo all’interno del Registro Elettronico, sezione Condivisione Documenti, il PEI per condividerlo con i genitori del minore […], fleggava non solo il nome dell’alunno interessato, ma anche la classe, di conseguenza il PEI, contrariamente alle intenzioni della docente, risultava visibile a tutti i genitori della IIIE. Dalla condotta della docente, supplente temporanea, non emerge nessuna intenzionalità di diffondere i dati del proprio alunno, ma solo un’imprudenza dovuta all’inesperienza e alla scarsa conoscenza del mezzo informatico. Supportata dai colleghi, ha immediatamente posto rimedio all’errore tanto che dopo solo 22 minuti la visualizzazione è stata corretta senza provocare nessun danno altrui”;

- è stata effettuata la “correzione immediata della visualizzazione sul Registro togliendo il flag alla classe. Contatto contestuale con la famiglia da parte della docente per scusarsi dell’accaduto. Disponibilità dell’Istituto ad incontrare la famiglia che ha sempre disdetto gli appuntamenti senza giustificare i motivi. Si osserva altresì che la discrasia è avvenuta il XX e, inspiegabilmente, la contestazione è stata effettuata il XX (oltre due mesi dopo l’accaduto). Appare evidente il carattere pretestuoso della richiesta che, a mente dell’art. 11, comma 1, lettera c del Regolamento n.1/2019 concernente le procedure interne aventi rilevanza esterna finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, avrebbe potuto comportare l’archiviazione del reclamo”;

- “Nessuna certificazione relativa a dati particolari viene inserita nel registro. A seguito dell’infrazione accertata dalla scrivente, si è provveduto ad epurare dei dati riconducibili alla salute i format dei PEI al fine di minimizzare l’uso dei dati particolari. Viene vietata la Condivisione di tali documenti attraverso il Registro o altro mezzo digitale. Il PEI viene consegnato brevi manu al genitore interessato. Essendoci all’Interno dell’Istituto un continuo movimento di personale temporaneo, si è programmato di reiterare la formazione sul trattamento dei dati personali”;

- “L’Istituto si è dotato, da tempo, del Compendio per le attività di trattamento dei dati personali e del Registro dei trattamenti predisposti insieme al DPO”;

- “innanzi tutto ribadire quanto stabilito dall’art. 11, comma 1, lettera c del Regolamento n.1/2019 in riferimento all’evidente carattere pretestuoso del reclamo: infatti, la violazione lamentata è accaduta il XX, la segnalazione alla scuola viene effettuata il XX – dopo due mesi dall’accaduto! -, quando la discrasia lamentata era stata sanata immediatamente (dopo 22 minuti) senza che nessun danno fosse stato arrecato all’alunno titolare del PEI. Si deve, inoltre, evidenziare che la diffusione dei dati, (di cui oltretutto non si ha certezza!) sarebbe avvenuta interessando soltanto gli appartenenti alla classe frequentata dall’alunno titolare del PEI che erano già a conoscenza della condizione dell’alunno in questione. In secondo luogo, giova qui ricordare che l’art. 83 del Regolamento (UE) 2016/679 correlato con il Codice in materia di protezione dei dati personali vigente, al comma 2, detta le condizioni generali per infliggere le sanzioni amministrative pecuniarie e così rappresenta la necessità che per ogni singolo caso si debba tener conto dei seguenti elementi:

a. “…Si osserva che vi è stata solo una presunta parte lesa ed il livello del danno subito è da ritenersi inesistente per l’immediato intervento da parte della docente che inopinatamente aveva creato il problema.

b. È evidente il carattere colposo della violazione, oltretutto commessa da una docente.

c. Come più volte detto, immediatamente sono state adottate misure che hanno reso inesistente qualsivoglia danno potesse derivare dalla discrasia commessa

d. Le misure tecniche e organizzative messe in atto da tempo fino ad ora hanno evitato il ripetersi di infrazioni equivalenti

e. Non si sono verificate precedenti violazioni commesse dal titolare o dal responsabile del trattamento dei dati

f. Non vi è stato bisogno di richiedere la cooperazione dell’Autorità di controllo in quanto, in modo autonomo, l’Istituzione aveva già posto rimedio alla discrasia (il problema è stato risolto dopo 22 minuti dall’accaduto e non si è più ripetuto)

h. Si presume che l’Autorità di controllo abbia preso conoscenza della violazione dai genitori dell’alunno interessato al Pei. Dalla Nota GPDP.Ufficio.Protocollo.XX, pervenuta all’istituzione ad XX, si evince che l’Autorità ha preso conoscenza mesi dopo di una violazione commessa diversi mesi prima.

i. Non sono stati mai disposti provvedimenti di cui all’art. 58 paragrafo 2 Regolamento del titolare del trattamento o del Responsabile del trattamento in quanto, non si sono mai in precedenza evidenziati violazioni di qualsivoglia tipo

j. L’Istituto è dotato di Compendio per le attività di trattamento dei dati personali e di Registro dei trattamenti”.

Nel corso dell’audizione tenutasi in data XX la dirigente scolastica dell’Istituto ha, altresì, dichiarato:

- “sono in servizio dal XX e ho condiviso con l’allora dirigente in servizio e il dpo gli elementi da fornire;

- l’evento si è verificato il XX, la dirigente è avvenuta a conoscenza dell’accaduto solo il XX quando ha ricevuto la nota del legale della famiglia dell’interessato, si è attivata subito consultando il dpo e verificando le conseguenze della pubblicazione; altresì ha sentito la docente interessata che ha relazione per iscritto le circostanze dell’evento verificatosi;

- Il documento è stato erroneamente pubblicato dalla docente che ha inserito la spunta di flag che ha determinato la visibilità del documento a tutti i genitori;

- La visibilità della comunicazione a tutti i genitori è stata disattivata dopo circa 20 minuti;

- L’unico genitore che ha letto la comunicazione ha condiviso uno screenshot dell’avviso di pubblicazione del documento a tutti gli altri genitori nella chat di classe senza tuttavia scaricarlo;

- In seguito un genitore dell’interessato ha avvisato le docenti dell’accaduto e pertanto la docente di sostegno ha provveduto subito a rimuovere l’avviso inserito;

- Ricevuta la nota del legale la dirigente ha invitato il legale e la famiglia ad incontrarsi per parlare delle conseguenze di tale comunicazione errata, ma tale incontro non è mai avvenuto perché la famiglia non ha mai aderito a tale invito;

- Insieme al dpo l’allora dirigente ha rivisto e modificato la modulistica e la modalità di condivisione del PEI con le famiglie coinvolte che non avviene più mediante RE ma esclusivamente in modalità cartacea;

- Nel mese di XX la dirigente è venuta a conoscenza che la famiglia dell’interessato ha proposto reclamo al Garante, dopo cioè circa 9 mesi dal verificarsi dell’evento;

- Non risulta che qualcuno abbia avuto modo di visualizzare o scaricare il documento, non è giunta nessuna segnalazione al riguardo;

- Era noto a tutta la classe che era stata nominata un’insegnate di sostegno per affiancare un alunno con disabilità”.

3. Esito dell’attività istruttoria.

3.1 Normativa applicabile.

Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il “Regolamento”), definisce “dato personale”, “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” e “dati relativi alla salute”, “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, punti 1 e 15, del Regolamento).

A norma del Regolamento il trattamento di dati personali effettuato in ambito pubblico è lecito quando è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, paragrafo 1, lett. c) ed e) e paragrafo 2 e 3 del Regolamento; art 2-ter del Codice).

Più in generale, la normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (…)” (art. 6, paragrafo 2 del Regolamento).

La disciplina nazionale ha introdotto disposizioni più specifiche per adeguare l’applicazione delle norme del Regolamento, determinando, con maggiore precisione, requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (art. 6, par. 2 del Regolamento) e, in tale ambito, ha previsto che le operazioni di trattamento che consistono nella “diffusione” e “comunicazione” di dati personali sono ammesse solo quando previste da una norma di legge, regolamento o atti amministrativi generali (art. 2-ter, del Codice).

Con riguardo alle categorie particolari di dati personali, il trattamento è, di regola, consentito ove “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. g), del Regolamento), a condizione che i trattamenti siano “previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato” (art. 2-sexies, comma 1, del Codice).

Il titolare del trattamento è poi tenuto a rispettare i principi in materia di protezione dei dati, tra cui quello di “liceità, correttezza e trasparenza” in base al quale i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato (art. 5, par. 1, lett. a) del Regolamento).

3.2 Esito dell’attività istruttoria.

Da quanto emerge dal reclamo in oggetto, nonché dall’accertamento compiuto sulla base degli elementi acquisiti a seguito dell’attività istruttoria e dalle successive valutazioni di questo Dipartimento, risulta che un’insegnante dell’Istituto ha reso disponibile, nella sezione del registro elettronico accessibile a tutti i genitori della classe 3,  sez. F della scuola primaria dell’Istituto,  il Programma educativo individualizzato riguardante i ragazzi con disabilità (PEI) elaborato per il figlio dei reclamanti.

Tale documento sarebbe stato visibile sul registro elettronico per circa ventidue minuti, in quanto successivamente l’insegnate avrebbe modificato le modalità di visualizzazione e avrebbe limitato la visibilità dello stesso ai soli genitori dell’alunno interessato.

L’immagine/screenshot dell’avviso di visibilità del Pei sul registro sarebbe stato, inoltre, pubblicata dal genitore di un alunno della 3 sez. F sulla chat di classe senza tuttavia scaricare e condividere il documento nella chat.

Con riguardo al profilo relativo alla messa a disposizione sulla chat di classe del richiamato documento, si evidenzia che la creazione, da parte di alunni, genitori o rappresentanti di classe, di chat di cui fanno parte i genitori degli studenti e l’utilizzo di tali strumenti come canali di comunicazione di notizie riguardanti i diversi aspetti della vita scolastica, non risulta riconducibile alle attività istituzionali o didattiche poste in essere dall’Istituto scolastico come titolare del trattamento. La creazione di chat di classe o gruppi whatsapp è infatti riconducibile ad autonomi comportamenti posti in essere da privati, dei quali la scuola non è tenuta a rispondere.

Con riguardo al diverso profilo relativo alla messa a disposizione dei due PEI sul registro elettronico da parte dell’insegnante si osserva quanto segue.

In via preliminare si osserva che, ai sensi dell’art. 4 par.1, n. 15 del Regolamento sono considerati dati relativi alla salute “i dati personali attinenti alla salute fisica e mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni sul suo stato di salute”.

Al riguardo si rappresenta che il PEI ossia il Programma educativo individualizzato riguardante i ragazzi con disabilità, previsto dalla normativa di settore in materia di disabilità, “è il documento nel quale vengono descritti gli interventi integrati ed equilibrati tra di loro, predisposti per l'alunno in situazione di handicap, in un determinato periodo di tempo, ai fini della realizzazione del diritto all'educazione e all'istruzione” (cfr. art. 5, comma 1 d.p.r. 24 febbraio 1994) e comprende una pluralità di informazioni relative alla condizione di disabilità del ragazzo per il quale tale documento è predisposto tra cui una apposita  sezione dedicata ai dati relativi alla Diagnosi funzionale.

Tale documento è elaborato e approvato dal Gruppo di lavoro operativo per l'inclusione scolastica e le informazioni relative alla stesura o verifica del PEI recanti l’indicazione del nominativo dell’alunno per il quale tale documento viene stilato, possono essere fornite solo ai genitori dello studente interessato, ai docenti della classe di appartenenza di quest’ultimo e ai soggetti individuati dalla normativa di settore, coinvolti nell’intervento terapeutico e formativo seguito dall’alunno stesso (cfr. artt. 7 e 9, comma 10, d.lgs. 13 aprile 2017, n. 66).

In particolare, si osserva che, sebbene la pubblicazione del PEI in questione sia avvenuta in un’area riservata del registro elettronico, non accessibile a chiunque e tale da determinare una diffusione di dati personali, la conoscibilità dei dati ivi contenuti è avvenuta, ancorché per un errore materiale, comunque in favore di un novero determinato o determinabile di soggetti, essendo tale area riservata accessibile a tutti i genitori della classe di riferimento (cfr. la definizione di “comunicazione” di dati personali contenuta nell’art. 2-ter comma 4 lett. a), del Codice), dando luogo ad una comunicazione di dati personali anche relativi alla salute degli interessati.

Alla luce delle considerazioni che precedono l’Istituto ha reso conoscibile in modo ingiustificato a soggetti terzi, dati personali, anche relativi alla salute, del figlio dei reclamanti. Né può essere ritenuto rilevante, ai fini della valutazione della complessiva condotta del titolare del trattamento quanto dichiarato in merito al fatto che “gli appartenenti alla classe frequentata dall’alunno titolare del PEI (…) erano già a conoscenza della condizione dell’alunno in questione”.

Per tali ragioni l’Istituto, ancorché a seguito di un mero errore, ha posto in essere un trattamento di dati personali, in violazione degli artt. 5, 6, 9 del Regolamento e 2-ter e 2-sexies del Codice.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Pertanto, si confermano le valutazioni preliminari dell'Ufficio e si rileva l'illiceità del trattamento di dati personali effettuato dall’Istituto, in violazione degli artt. 5, 6 e 9 del Regolamento nonché dell’art. 2-ter e 2-sexies del Codice.

Ciò premesso, tenuto conto che:

- il titolare del trattamento è un istituto scolastico e, pertanto, un soggetto di ridotte dimensioni;

- l’evento si è verificato in quanto la docente per un mero errore materiale ha inserito la spunta di un flag che ha determinato la visibilità del documento a tutti i genitori della classe;

- la visibilità della comunicazione a tutti i genitori è stata disattivata dopo appena 22 minuti;

- i genitori della classe, mediante pubblicazione nella chat dello screenshot inerente alla pubblicazione del PEI, sono venuti a conoscenza della disponibilità del PEI sul registro elettronico ma non risulta invece comprovato che i genitori abbiano effettivamente preso visione del contenuto del PEI stesso, pertanto, la comunicazione dei dati riguarda l’informazione che il reclamante ha un PEI, senza conoscere il contenuto dello stesso;

- la dirigente scolastica ha invitato la famiglia ad incontrarsi per parlare di quanto accaduto ma la famiglia non ha mai aderito all’invito;

- il titolare del trattamento ha prestato piena collaborazione all’Autorità nel corso dell’istruttoria;

- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento;

le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi dell’art. 83, par. 2, del cons. 148 del Regolamento e delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25 maggio 2018.

Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per avere violato gli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento nonché dell’art. 2-ter e 2-sexies del Codice.

Considerato che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019. con conseguente annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

- ai sensi dell’art. 57, par. 1, lett. f), dichiara illecita la condotta tenuta dell’Istituto comprensivo Statale Don Lorenzo Milani di Guidonia Montecelio, con sede in via Marco Aurelio, 2 - 00012 Guidonia Montecelio (Roma) - Codice Fiscale: 86003270583, descritta nei termini di cui in motivazione, consistente nella violazione degli artt. artt. 5, par. 1, lett. a), 6 e 9 del Regolamento nonché dell’art. 2-ter e 2-sexies del Codice;

- ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce l’Istituto Comprensivo Statale Don Lorenzo Milani quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento, nonché dell’art. 2- ter e 2-sexies del Codice;

DISPONE

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 27 febbraio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei

12/12/2024 n° 767
Area: Prassi, Circolari, Note

04/08/2025 n° 454
Area: Prassi, Circolari, Note

[doc. web n. 10162698]

Parere sullo schema di decreto ministeriale del Ministero dell’istruzione e del Merito concernente “l’implementazione di un servizio digitale in materia di Intelligenza Artificiale nell’ambito della Piattaforma Unica di cui all’articolo 21, commi 4-ter e seguenti, del decreto-legge del 22 giugno 2023, n. 75, convertito, con modificazioni, dalla legge del 10 agosto 2023, n. 112” e le “Linee guida per l’introduzione dell’Intelligenza Artificiale nelle Istituzioni scolastiche” - 4 agosto 2025

Registro dei provvedimenti
n. 454 del 4 agosto 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Angelo Fanizza, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il d.lgs. 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali” (di seguito, Codice);

VISTO il Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (di seguito, anche «Intelligenza Artificiale» o «IA») e modifica i regolamenti (CE) n, 300/2008, (UE) n, 167/2013, (UE) n, 168/2013, (UE) 2018/858, (UE) 2018/1139 e (UE) 2019/2144 e le direttive 2014/90/UE, (UE) 2016/797 e (UE) 2020/1828 (di seguito, anche «Regolamento sull’IA»);

VISTO il Decreto-Legge 22 giugno 2023, n. 75, recante “Disposizioni urgenti in materia di organizzazione delle pubbliche amministrazioni, di agricoltura, di sport, di lavoro e per l’organizzazione del Giubileo della Chiesa cattolica per l’anno 2025” convertito, con modificazioni, dalla Legge 10 agosto 2023, n. 112 e, in particolare, l’articolo 21, comma 4-ter, secondo cui il Ministero dell’Istruzione e del Merito (di seguito, MIM) promuove la progettazione, lo sviluppo e la realizzazione della «Piattaforma Famiglie e Studenti», anche denominata «Unica» (di seguito, anche «Piattaforma» o «Unica»), quale canale unico di accesso al patrimonio informativo detenuto dal MIM e dalle Istituzioni Scolastiche, attraverso il quale famiglie e studenti possono fruire con modalità semplificate dei servizi digitali offerti dal Ministero e dalle Istituzioni Scolastiche;

CONSIDERATO che, in attuazione dell’articolo 21, comma 4-quinquies, del suddetto Decreto-Legge n. 75/2023, il MIM ha adottato il Decreto ministeriale 10 ottobre 2023, n. 192, avente a oggetto “la disciplina sul trattamento dei dati personali effettuato dal Ministero dell’Istruzione e del Merito e dalle Istituzioni Scolastiche nell’ambito della Piattaforma” e per il tramite del quale sono stati attivati specifici servizi digitali quali, in particolare, E-Portfolio, Docente Tutor e Gite Scolastiche, su cui il Garante ha reso il parere con provv. n. 468 del 10 ottobre 2023 (disponibile sul sito istituzionale www.gpdp.it, doc. web n. 9953443);

VISTO in particolare, l’articolo 11, comma 4, del Decreto Ministeriale n. 192/23, secondo cui «Con appositi decreti ministeriali di natura non regolamentare, il MIM, sentito il Garante per la protezione dei dati personali, provvederà, come previsto all’articolo 5, comma 6, del presente Decreto, a integrare e implementare nella Piattaforma: (i) i Servizi Digitali già erogati dal Ministero e dalle Istituzioni Scolastiche con applicativi diversi dalla Piattaforma medesima; (ii) i Servizi Digitali di nuova introduzione»;

VISTO altresì, il Decreto Ministeriale del 18 giugno 2024, n. 124, concernente la disciplina sul trattamento dei dati personali effettuato dal MIM e dalle Istituzioni Scolastiche nell’ambito dell’abilitazione di nuove utenze ai fini dell’accesso all’area privata della Piattaforma e del servizio digitale «Knowledge Area», su cui il Garante ha reso il parere con provv. n. 334 del 6 giugno 2024 (doc. web n. 10036855);

VISTA la nota del 28 luglio 2025 con cui il Ministero dell’Istruzione e del Merito ha trasmesso all’Autorità, ai fini dell’acquisizione del parere di competenza, lo schema di decreto ministeriale, adottato ai sensi dell’articolo 11, comma 4, del Decreto Ministeriale 10 ottobre 2023, n. 192, concernente “l’implementazione di un servizio digitale in materia di Intelligenza Artificiale nell’ambito della Piattaforma Unica di cui all’articolo 21, commi 4-ter e seguenti, del decreto-legge del 22 giugno 2023, n. 75, convertito, con modificazioni, dalla legge del 10 agosto 2023, n. 112” a cui sono allegate le “Linee guida per l’introduzione dell’Intelligenza Artificiale nelle Istituzioni scolastiche” (di seguito, Linee guida);

RILEVATO che il suddetto schema di decreto stabilisce, in particolare:

- che nell’ambito della Piattaforma Unica è implementato un Servizio Digitale mediante il quale, il Ministero, nell’ambito delle proprie funzioni di indirizzo e governo generale del sistema nazionale di istruzione e formazione, rende disponibili specifici contenuti e documenti informativi sull’IA, tra i quali apposite Linee Guida in materia di Intelligenza Artificiale, nonché una mappa delle sperimentazioni avviate dalle singole Istituzioni Scolastiche in materia, al fine di supportare le stesse nei possibili impieghi dell’IA e favorire l’acquisizione, da parte di studenti, studentesse e genitori/esercenti la responsabilità genitoriale, delle necessarie conoscenze digitali, al fine di poter godere dei benefici offerti dall’IA  e orientare le nuove generazioni verso un uso attento e consapevole delle nuove tecnologie (articolo 1);

- le modalità di accesso al Servizio Digitale (articoli 2 e 3);

- le Sezioni di cui si compone il Servizio Digitale e le relative funzionalità (articoli 4, 5, 6);

- i soggetti coinvolti nel trattamento dei dati personali e il ruolo svolto, prevedendo che il MIM è titolare del trattamento dei dati personali degli Utenti trattati nell’ambito della procedura di identificazione e autenticazione informatica nell’area privata della Piattaforma, restando ferma la responsabilità delle Istituzioni Scolastiche in merito alle informazioni di propria competenza che sono inserite nell’ambito della Sezione «Progetti IA», nonché la responsabilità per la loro esattezza, correttezza e aggiornamento (articolo 7);

- il MIM promuove un uso etico e trasparente dell’IA, garantendo il rispetto dei principi in materia di IA indicati all’interno degli «Orientamenti etici per un’IA affidabile» dell’8 aprile 2019 e richiamati dal Regolamento (UE) 2024/1689 citato. In ogni caso, sono oggetto di trattamento i soli dati personali comuni degli Utenti, acquisiti in fase di autenticazione all’area privata della Piattaforma e indicati all’interno dell’Allegato Tecnico al D.M. n. 192/2023 (articolo 8);

- il rispetto dei principi in materia di protezione dei dati personali e misure di sicurezza (articolo 9);

- con appositi decreti ministeriali di natura non regolamentare, il MIM provvederà a disciplinare nel dettaglio le modalità con le quali le Istituzioni Scolastiche dovranno progettare e realizzare le singole iniziative di IA, in conformità alla disciplina in materia di protezione dei dati personali e di IA, le iniziative di formazione che saranno attivate a favore delle Istituzioni Scolastiche in materia di IA, al fine di garantire un uso consapevole e responsabile dei sistemi di IA in ambito scolastico, gli ulteriori elementi volti a garantire che l’implementazione dei sistemi di IA da parte delle Istituzioni Scolastiche avvenga nel pieno rispetto dei diritti e dei valori sanciti dalla Carta dei diritti fondamentali dell’Unione europea e l’aggiornamento delle Linee Guida adottate con il Decreto in esame, nonché i modelli documentali alle medesime allegati (articolo 10);

RILEVATO, inoltre, che le linee guida allegate allo schema di decreto in esame, prevedono, in sintesi:

- gli obiettivi che il MIM intende perseguire con l’introduzione delle tecnologie di IA in ambito scolastico affinché diventino uno strumento per rafforzare la competitività del sistema educativo, preservandone la qualità, promuovendo l’equità e invitando studenti e Istituzioni scolastiche a sfruttare le potenzialità dell’IA con la giusta consapevolezza (paragrafo 1);

- i principi a sostegno dell’introduzione dell’IA, tra cui la “centralità della persona”, la “tutela dei diritti e delle libertà fondamentali” e la “sicurezza dei sistemi e modelli di IA” (paragrafo 2);

- i requisiti etici, tecnici e normativi necessari per assicurare un’adozione responsabile e sicura delle tecnologie di IA (paragrafo 3);

- le istruzioni operative e gli strumenti di accompagnamento per introdurre l’IA negli Istituti scolastici (paragrafo 4);

CONSIDERATO, in primo luogo, che i trattamenti di dati personali per compiti di interesse pubblico devono essere effettuati esclusivamente nel perseguimento delle finalità istituzionali dei rispettivi titolari del trattamento nel quadro della normativa di settore applicabile, che ne costituisce la base giuridica definendo presupposti, condizioni, modalità, limiti e misure a tutela dei diritti e delle libertà fondamentali delle persone, anche tenuto conto della natura dei dati trattati, del contesto, degli specifici strumenti che si intende utilizzare nonché dei rischi per gli interessati, nel rispetto dei principi generali di protezione dei dati personali e, in particolare, di quelli di liceità, correttezza e trasparenza e di limitazione della finalità (cfr. art. 5, par. 1, lett. a) e b), e art. 6, parr. 1, lett. e), e 3 del Regolamento, nonché art. 2-ter del Codice; inoltre, laddove il trattamento abbia a oggetto categorie particolari di dati personali o dati personali relativi a condanne penali o reati, cfr. artt. 9 e 10 del Regolamento e artt. 2-sexies e 2-octies del Codice);

CONSIDERATO, inoltre, che, laddove tale trattamento comporti l’utilizzo di sistemi di IA, come pure prefigurato, occorre che siano altresì assicurati una piena trasparenza nei confronti degli interessati nonché il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona (cfr. spec. art. 5, par. 1, lett. a), e artt. 12, 13, 14 e 22 del Regolamento);

CONSIDERATO, in ogni caso, che la versione dello schema di decreto in esame, con particolare riferimento ai principi di privacy by design e by default (art. 25 del Regolamento), tiene conto anche delle osservazioni fornite dall’Ufficio nel corso delle interlocuzioni informali intercorse, che hanno riguardato, in particolare:

- la rigorosa osservanza dei divieti concernenti le pratiche vietate di cui all’art. 5 del Regolamento sull’IA (come quelle preordinate al riconoscimento delle emozioni, c.d. strumenti di sentiment analysis, con particolare riferimento al contesto scolastico o lavorativo: cfr. spec. le Commission Guidelines on prohibited artificial intelligence practices established by Regulation (EU) 2024/1689 (AI Act) del 4 febbraio 2025);

- il rispetto delle misure previste dal Regolamento sull’IA in relazione all’impiego di sistemi di IA ad alto rischio, con particolare riferimento a quelli, richiamati dall’art. 6, par. 2, indicati nell’Allegato III al n. 3;

- le garanzie di trasparenza che gli Istituti medesimi sono tenuti ad assicurare nei confronti degli interessati, anche nel rispetto di quanto previsto dalla disciplina di settore in materia di IA;

- la definizione di ruoli e responsabilità dei soggetti istituzionali coinvolti nella gestione dei sistemi di IA, anche in qualità di titolari del trattamento ai fini della contestuale applicazione della disciplina di protezione dei dati personali, con particolare riferimento al rispetto del principio di liceità, correttezza e trasparenza (art. 5, par. 1, lett. a), del Regolamento);

- la previsione di utilizzare solamente laddove strettamente indispensabili, i dati personali riferibili a studenti e docenti ricorrendo ove possibile all’utilizzo di dati sintetici, prevedendo l’impiego di configurazioni che impediscano la conservazione dei prompt, la profilazione o il tracciamento degli studenti, nel rispetto del principio di minimizzazione dei dati (art. 5, par. 1, lett. c), del Regolamento);

- la necessità di assicurare la trasparenza dei trattamenti di dati personali effettuati da parte degli Istituti scolastici mediante sistemi di IA, con particolare riguardo all'impatto sui diritti e sulle libertà fondamentali degli interessati, nel rispetto del principio di liceità, correttezza e trasparenza (art. 5, par. 1, lett. a), del Regolamento);

- la necessità di prevedere attività formativa adeguata, audit o valutazioni periodiche volti a verificare l’affidabilità, la trasparenza e la correttezza del funzionamento dei sistemi utilizzati, nonché di valutare l’adozione di misure tecniche e organizzative adeguate al contesto senza contemplare aprioristicamente un elenco predefinito e limitato di misure, nel rispetto del principio di integrità e riservatezza (art. 5, par. 1, lett. f), del Regolamento);

RITENUTO, alla luce di quanto osservato, di poter esprimere parere favorevole sullo schema di decreto in esame, che reca in allegato le “Linee guida per l’introduzione dell’Intelligenza Artificiale nelle Istituzioni scolastiche”;

RITENUTO, inoltre, che spetta ai soggetti che svolgono attività di trattamento dei dati personali, nel rispetto della cornice di liceità sopra richiamata, adottare le misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi per gli interessati nel delicato contesto scolastico ed educativo, a valle della valutazione d’impatto svolta anche alla luce delle valutazioni formulate dai soggetti a vario titolo coinvolti (art. 35 del Regolamento), in ossequio al principio di accountability (artt. 5, par. 2, e 24 del Regolamento);

RITENUTO, infine, che, impregiudicati gli specifici requisiti e garanzie che derivano dall’applicazione del quadro normativo in materia di IA, quando l’utilizzo di sistemi di IA comporta il trattamento di dati personali, occorre garantire, anche alla luce della previsione contenuta nell’art. 2, par. 7 del Regolamento UE 2024/1689, il contestuale rispetto della disciplina in materia di protezione dei dati personali e l’applicazione delle garanzie ivi previste a tutela dei diritti e delle libertà fondamentali delle persone, la cui osservanza è assicurata dal Garante per la protezione dei dati personali nell’esercizio dei compiti e poteri attribuitigli dal Regolamento;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 36, par. 4, e 58, par. 3, lett. b), del Regolamento, esprime parere favorevole sullo schema di decreto ministeriale del Ministero dell’istruzione e del Merito, adottato ai sensi dell’articolo 11, comma 4, del Decreto Ministeriale 10 ottobre 2023, n. 192, concernente “l’implementazione di un servizio digitale in materia di Intelligenza Artificiale nell’ambito della Piattaforma Unica di cui all’articolo 21, commi 4-ter e seguenti, del decreto-legge del 22 giugno 2023, n. 75, convertito, con modificazioni, dalla legge del 10 agosto 2023, n. 112” e le “Linee guida per l’introduzione dell’Intelligenza Artificiale nelle Istituzioni scolastiche” allegate.

Roma, 4 agosto 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE 
Fanizza

27/03/2025 n° 169
Area: Prassi, Circolari, Note

13/03/2025 n° 134
Area: Prassi, Circolari, Note

13/11/2025 n° 667
Area: Prassi, Circolari, Note

27/03/2025 n° 167
Area: Prassi, Circolari, Note

[doc. web n. 10138981]

Provvedimento del 27 marzo 2025

Registro dei provvedimenti
n. 167 del 27 marzo 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore l'avv. Guido Scorza;

PREMESSO

1. Introduzione.

Con reclamo presentato ai sensi dell’art. 77 del Regolamento, i Sig.ri XX, XX e XX hanno lamentato, per il tramite del proprio difensore, una presunta violazione della disciplina in materia di protezione dei dati personali con riguardo all’impiego, presso le sedi dell’Istituto di Istruzione Superiore “P. Galluppi” Tropea, di un sistema di rilevazione delle presenze del personale dipendente amministrativo che, richiedendo l’utilizzo delle impronte digitali dei lavoratori, implicherebbe il trattamento dei relativi dati biometrici al fine di identificarli in modo univoco.

2. L’attività istruttoria.

Al riguardo, nell’ambito dell’istruttoria, con nota del XX, l’Istituto ha dichiarato, in particolare, che:

“nelle diverse sedi dell’IIS di Tropea il personale ATA attesta la propria presenza in servizio per mezzo di rilevatore con badge acquisito nell’anno scolastico XX […] Nel corso del tempo, tuttavia, [… l’Istituto] ha rilevato situazioni che hanno generato il dubbio sul corretto utilizzo del badge e sulla effettiva presenza in servizio di titolari del badge, oltre ad episodi di manomissioni, danneggiamenti e atti vandalici. Per fare fronte alle azioni suddette e accertarsi della effettiva presenza in servizio dei dipendenti nelle ore previste, la Dirigenza della Scuola ha proposto al personale, a sua esclusiva tutela, l’integrazione del sistema di rilevazione con l’utilizzo dell’impronta digitale in abbinamento al badge, accolto con favore dallo stesso”;

“il sistema adottato è stato scelto sulla base della garanzia in ordine alla correttezza del trattamento dati ed alla conformità al GDPR rilasciate dall’azienda fornitrice”;

“non si è pensato di dover informare e coinvolgere il DPO, ritenendo sufficienti le indicazioni tecniche e le garanzie fornite dall’azienda oltre al consenso prestato dal personale ATA coinvolto ed anzi alla sollecitazione, da parte dello stesso, circa l’adozione di tale sistema a garanzia di tutti”;

“al personale coinvolto, per consentire di esprimere un consenso libero, è stata garantita la possibilità di usare alternativamente il sistema di rilevazione delle presenze con badge senza associazione dell’impronta. […] Tranne i due Signori [… tra i reclamanti], tutto il personale ATA (34 unità), in servizio presso l’Istituto d’Istruzione Superiore di Tropea, ha prestato il consenso all’integrazione del sistema di rilevazione delle presenze […] Agli atti della scuola sono conservati i consensi sottoscritti dal personale ATA interessato”;

“a seguito della ricezione del reclamo [ossia in data XX, giorno in cui l’Autorità ha trasmesso all’Istituto una richiesta di informazioni ai sensi dell’art. 157 Codice], [… l’Istituto] ha nell’immediatezza sospeso la rilevazione delle presenze con badge abbinato all’impronta digitale. Ad oggi, nonostante le richieste di tutto il personale ATA (tranne le due unità che hanno presentato reclamo) di riattivazione del sistema badge con impronta, sollevate e sollecitate dallo stesso durante le riunioni di avvio anno XX, con la disponibilità di tutto il personale suddetto a prestare richiesta scritta e ulteriore consenso alla riattivazione del sistema, la rilevazione delle presenze in servizio è attestata con il SOLO uso del badge SENZA impronta”.

Quanto, più nello specifico, al funzionamento del sistema di rilevazione delle presenze precedentemente in uso presso l’Istituto, dalla documentazione tecnica trasmessa in allegato alla predetta nota del XX si evince, in particolare, che:

“il funzionamento del lettore di impronte digitali, quale strumento di verifica biometrica comprende 2 fasi principali: A. Registrazione (enrolment): le caratteristiche dell'impronta digitale sono acquisite tramite il lettore del terminale, digitalizzate, elaborate e compresse mediante un algoritmo matematica irreversibile (da non confondersi con il processo di criptografia o crittografia) fino ad ottenerne un modello matematico (template) che, associato al codice identificativo della persona, diviene la base dei successivi confronti o verifiche; B. Verifica (matching): le caratteristiche dell'impronta digitale sono acquisite, digitalizzate, elaborate e compresse in modo identico a quello della fase di registrazione fino ad ottenere un analogo modello matematico. Il confronto tra il modello (template) archiviato relativo al codice di riferimento ed il risultato della lettura determina, in base allo scostamento, il risultato della verifica”;

“nel [predetto] modello […] vengono memorizzati solo dei numeri di riferimento […] e non la caratteristica biometrica vera e propria. Questo rende impossibile risalire dal template all'impronta stessa, rendendo così sicura, in materia di privacy, l'identità dei soggetti registrati”;

“il [predetto] template può essere memorizzato direttamente nella memoria del lettore oppure può essere memorizzato su un badge in dotazione all'utente, in entrambi i casi sono archiviati solo i seguenti dati: codice utente; è un puro codice di riferimento, assimilabile al numero di matricola; modello (template) è un puro numero, assimilabile al codice presente in una banda magnetica di un badge […;] elenco eventi: data/ora, codice utente, indirizzo del terminale ed eventuale codice causale (giustificativo) sono gli unici risultati memorizzati dopo le verifiche operate dal lettore biometrico, dati equivalenti ai dati "classici" di un terminale di gestione presenze”;

“nel lettore biometrico del terminale […] non sono quindi presenti: dati anagrafici dell'utente; immagine dell'impronta digitale dell'utente; dati fisici diretti o deducibili dell'impronta digitale”.

Con nota del XX, l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato all’Istituto, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per aver trattato i dati personali biometrici dei dipendenti amministrativi, tecnici e ausiliari (A.T.A.) al fine di identificarli in modo univoco per rilevarne la presenza in servizio, in maniera non conforme al principio di “liceità, correttezza e trasparenza” nonché in assenza di un idoneo presupposto normativo, in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento.

Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

Con nota del XX, l’Istituto, che non ha richiesto di essere audito, ha presentato una memoria difensiva, dichiarando, in particolare, che:

- “il sistema di rilevazione delle presenze tramite badge abbinato all’impronta digitale, è stato avviato [… dall’Istituto] nel XX”

- “contestualmente [alla sospensione dell’impiego del predetto sistema nel XX], sono state effettuate le operazioni di cancellazione di tutti i dati biometrici acquisiti dal sistema e impostato lo stesso per il funzionamento con il solo badge senza associazione dell’impronta”.

- “ad oggi […] la rilevazione delle presenze in servizio è attestata con il solo uso del badge senza impronta”.

3. Il quadro normativo in materia di protezione dei dati personali.

Con riferimento alla questione prospettata nel reclamo si evidenzia, in via preliminare, che i dati biometrici sono definiti dal Regolamento come “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici” (art. 4, punto 14), del Regolamento) e, laddove intesi a identificare in modo univoco una persona fisica, sono ricompresi tra le categorie “particolari” di dati personali (art. 9 del Regolamento) in ragione della loro delicatezza, derivante dalla stretta e stabile relazione con l’individuo e la sua identità.

Il trattamento di dati biometrici, di regola vietato per effetto del disposto di cui all’art. 9, par. 1, del Regolamento, è consentito esclusivamente al ricorrere di una delle condizioni indicate dell’art. 9, par. 2 del Regolamento e, in ambito lavorativo, solo quando sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), del Regolamento; v. pure, art. 88, par. 1 e cons. 51-53 del Regolamento).

Il quadro normativo vigente prevede inoltre che il trattamento di dati biometrici, per poter essere lecitamente posto in essere, avvenga nel rispetto di “ulteriori condizioni, comprese limitazioni” (cfr. art. 9, par. 4, del Regolamento); a tale disposizione è stata data attuazione, nell’ordinamento nazionale, con l’art. 2-septies (Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute) del Codice (come modificato dal decreto legislativo 10 agosto 2018 n. 101 di adeguamento della normativa nazionale alle disposizioni del Regolamento). La norma prevede che è lecito il trattamento di tali categorie di dati al ricorrere di una delle condizioni di cui all’art. 9, par. 2, del Regolamento “ed in conformità alle misure di garanzia disposte dal Garante”, in relazione a ciascuna categoria dei dati.

Il datore di lavoro, titolare del trattamento, è, in ogni caso, tenuto a rispettare i principi di protezione dei dati personali, tra cui in particolare quelli di “liceità, correttezza e trasparenza”, “minimizzazione” e protezione dei dati “fin dalla progettazione” e “per impostazione predefinita” (artt. 5 e 25 del Regolamento).

4. Esito dell’attività istruttoria.

Dall’accertamento compiuto sulla base degli elementi acquisiti e dei fatti emersi all’esito dell’attività istruttoria, nonché delle successive valutazioni dell’Autorità, risulta accertato che, a partire dal XX e sino alla data del XX, l’Istituto ha fatto uso, presso le proprie sedi, di un sistema di rilevazione delle presenze del personale A.T.A. che richiedeva l’utilizzo delle impronte digitali dei lavoratori che avessero rilasciato il proprio consenso, con ciò dando luogo ad un trattamento dei relativi dati biometrici inteso ad identificare in modo univoco i singoli dipendenti al fine di rilevarne la presenza in servizio nonché nell’ottica di prevenire “episodi di manomissioni, danneggiamenti e atti vandalici” (cfr. nota del XX).

In particolare, è stato accertato che il predetto sistema, elaborando le caratteristiche dell'impronta digitale acquisita, permette di creare un modello matematico che, venendo associato al codice identificativo del singolo interessato, costituisce il termine di raffronto delle successive verifiche all’atto della timbratura dei dipendenti.

Ancorché lo stesso non mantenga traccia dei dati anagrafici dei dipendenti, dell’immagine o di “dati fisici diretti o deducibili” delle relative impronte digitali e, per altro verso, “la "ricostruzione dell'impronta digitale" partendo dal modello non [… sia] possibile, nemmeno conoscendo l'algoritmo di elaborazione” (cfr. nota del XX), si osserva quanto segue.

Le informazioni trattate per il tramite di tale sistema risultano comunque riconducibili ad un codice direttamente identificativo del singolo dipendente, ne consentono o confermano l’identificazione univoca e costituiscono pertanto dati personali biometrici (cfr. art. 4, nn. 1) e 14), del Regolamento).

Ciò premesso, si fa presente che la finalità di rilevazione delle presenze in servizio dei dipendenti, funzionale all’attestazione dell’osservanza dell’orario di lavoro alla sua contabilizzazione, che, in generale, nell’ambito del pubblico impiego, è prevista da un quadro normativo stratificatosi nel tempo (v. ad esempio, art. 22, comma 3 della l. 23.12.1994, n. 724; art. 3 della l. 24.12.2007, n. 244; art. 7 del d.P.R. 1.02.1986, n. 13), è riconducibile nell’ambito di applicazione dell’articolo 9 par. 2, lett. b) del Regolamento poiché implica un trattamento “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro […]” (v. pure art. 88, par. 1, Regolamento).  Tuttavia, l’impiego di sistemi di rilevazione delle presenze che comportano anche il trattamento di dati biometrici richiede, nel sistema del Regolamento e del Codice, un’espressa previsione normativa e specifiche garanzie per i diritti degli interessati (il trattamento è infatti consentito “nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri […] in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”, art. 9, par. 2, lett. b), del Regolamento e cons. 51-53, e “nel rispetto delle misure di garanzia” individuate dal Garante ai sensi dell’art. 9, par. 4, del Regolamento e dell’art. 2-septies del Codice).

Nel contesto lavorativo il trattamento avente a oggetto dati biometrici può essere lecitamente posto in essere solo ove lo stesso trovi il proprio fondamento in una disposizione normativa che possa essere ritenuta base giuridica del trattamento “idonea” anche alla luce dell’assetto delle fonti dell’“ordinamento costituzionale” dello Stato membro (v. considerando 41 del Regolamento e v. anche Corte Cost. sent. n. 271/2005, in base alla quale la disciplina di protezione dei dati personali rientra fra la materia di competenza esclusiva statale riferita all’“ordinamento civile”). Tale disposizione deve, infatti, avere le caratteristiche richieste dalla disciplina di protezione dei dati e soddisfare specifici requisiti, sia in termini di qualità della fonte, contenuti necessari e misure appropriate e specifiche per tutelare i diritti e le libertà degli interessati, sia in termini di proporzionalità dell’intervento regolatorio rispetto alle finalità che si intendono perseguire (art. 6, parr. 2 e 3, lett. b), del Regolamento). Ciò in quanto, la base giuridica del trattamento, per poter essere considerata una valida condizione di liceità del trattamento, deve, tra l’altro, “persegu[ire] un obiettivo di interesse pubblico ed [essere] proporzionato all’obiettivo legittimo perseguito” (art. 6, par. 3, lett. b), del Regolamento).

Al riguardo, si fa presente inoltre che l’art. 2 della l. 19 giugno 2019, n. 56, recante “Interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell’assenteismo”, aveva previsto una generalizzata sostituzione dei sistemi di rilevazione automatica delle presenze con sistemi di rilevazione di dati biometrici unitamente all’impiego di sistemi di videosorveglianza prevedendo che, “ai fini della verifica dell’osservanza dell’orario di lavoro”, le amministrazioni pubbliche - individuate ai sensi dell’art. 1, comma 2, del d.lgs. n. 165/2001, ad esclusione del “personale in regime di diritto pubblico” (cfr. art. 3, comma 2, d.lgs. n. 165/2001), e quello sottoposto alla disciplina del lavoro agile di cui all’articolo 18 della legge 22 maggio 2017, n. 81 - “introducono sistemi di identificazione biometrica e di videosorveglianza in sostituzione dei diversi sistemi di rilevazione automatica attualmente in uso” ma prevede anche che le “modalità attuative” della norma – nel rispetto dell’art. 9 del Regolamento e delle misure di garanzia definite dal Garante ai sensi dell’art. 2-septies del Codice – siano individuate con d.P.C.M., su proposta del Ministro della funzione pubblica, previa intesa con la conferenza unificata (stato regioni e autonomie locali) e “previo parere del Garante ai sensi dell’art. 154 del Codice sulle modalità del trattamento dei dati biometrici”.

Nell’esercizio dei propri poteri consultivi sugli atti normativi (artt. 36, par. 4 e 58, par. 3 del Regolamento nonché art. 154 del Codice), il Garante aveva, a suo tempo, segnalato al legislatore nazionale le criticità della norma evidenziando, in particolare, “l’eccedenza rispetto alle finalità che si intendono perseguire, anche sotto il profilo della gradualità delle misure limitative che possono essere adottate nei confronti dei lavoratori” (cfr. provv. 11 ottobre 2018, n. 464, doc. web n. 9051774) e - confermando quanto già rilevato nel corso delle audizioni dinanzi alle Commissioni parlamentari competenti (audizioni presso le Commissioni riunite I e XI, Affari Costituzionali e Lavoro, della Camera dei Deputati il 6 febbraio 2019, doc. web n. 9080870) -, ha ribadito, anche in relazione allo schema di regolamento di attuazione, peraltro mai adottato, che “non può ritenersi in alcun modo conforme al canone di proporzionalità- come declinato dalla giurisprudenza europea e interna– l’ipotizzata introduzione sistematica, generalizzata e indifferenziata per tutte le pubbliche amministrazioni di sistemi di rilevazione biometrica delle presenze, in ragione dei vincoli posti dall’ordinamento europeo sul punto, a motivo dell’invasività di tali forme di verifica e delle implicazioni derivanti dalla particolare natura del dato” (provv. 19 settembre 2019, n. 167, doc. web n. 9147290).

Le disposizioni che prevedevano l’introduzione di sistemi di rilevazione biometrica delle presenze, in ambito pubblico, contenute nei commi da 1 a 4 dell’art. 2 della l. 19 giugno 2019, n. 56, sono state da ultimo abrogate dalla l. 30 dicembre 2020, n. 178 (c.d. Legge di Bilancio 2021, art. 1, comma 958). 
Per tali ragioni, si evidenzia che, in assenza di specifiche disposizioni che prevedano il trattamento dei dati biometrici per finalità di rilevazione delle presenze e delle relative garanzie, il relativo trattamento non può essere lecitamente effettuato, non sussistendo base giuridica.

In tale quadro, il Garante in numerosi casi ha accertato l’illiceità del trattamento dei dati biometrici dei dipendenti per la finalità di rilevazione delle presenze posto in essere da soggetti pubblici e privati in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento, adottando i conseguenti provvedimenti correttivi e sanzionatori (provv. 15 dicembre 2022, n. 422, doc. web n. 9852776; provv. 15 dicembre 2022, n. 423, doc. web n. 9852800; provv. 14 gennaio 2021, n. 16, doc. web n. 9542071; per analoghe considerazioni in ambito privato, cfr. provv. 22 febbraio 2024, n. 105, 106, 107, 108 e 109, doc. web nn. 9995680, 9995701, 9995741, 9995762, 9995785; provv. 10 novembre 2022, n. 369, doc. web n. 9832838).

Nei menzionati provvedimenti, il Garante ha altresì avuto modo di chiarire come il difetto di base giuridica, in merito al trattamento dei dati biometrici, non possa essere colmato neppure dal consenso dei dipendenti, che l’Istituto ha dichiarato di aver acquisito nel caso di specie, assicurando altresì ai dipendenti che non lo avessero rilasciato la possibilità di attestare la propria presenza in servizio senza conferire a tal fine dati biometrici. Ciò in quanto, alla luce della asimmetria tra le rispettive parti del rapporto di lavoro e la conseguente, eventuale, necessità di accertare, di volta in volta e in concreto, l’effettiva libertà della manifestazione di volontà del dipendente, il consenso non costituisce, di regola, un valido presupposto di liceità per il trattamento dei dati personali in ambito lavorativo, indipendentemente dalla natura pubblica o privata del datore di lavoro (cons. n. 43; art. 4, punto 11), e art. 7, par. 3 e 4, del Regolamento; v., l’orientamento consolidato in sede europea, Gruppo di lavoro "Articolo 29", Parere 2/2017 sul trattamento dei dati sul posto di lavoro, WP 249, p. 7 e 26 e Linee Guida sul consenso ai sensi del Regolamento UE 2016/679- WP 259- del 4 maggio 2020).

Per le ragioni che precedono, deve concludersi che il trattamento dei dati personali biometrici dei dipendenti amministrativi, tecnici e ausiliari (A.T.A.), effettuato dall’Istituto al fine di identificarli in modo univoco per rilevarne la presenza in servizio, è stato posto in essere in maniera non conforme al principio di “liceità, correttezza e trasparenza” nonché in assenza di un idoneo presupposto normativo, in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento

5. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Istituto, per aver effettuato il predetto trattamento in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento.

Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l’importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, le violazioni sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti - atteso che l’Istituto ha dichiarato di aver sospeso l’utilizzo del sistema di rilevazione biometrica delle presenze dei dipendenti A.T.A. nel XX nonché di aver cancellato i dati biometrici precedentemente raccolti - non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Tenuto conto, in particolare, che:

il trattamento, che ha riguardato unicamente i dipendenti A.T.A. (34 persone), ai quali era comunque riconosciuta la possibilità di registrare la propria presenza in servizio attraverso modalità tradizionali che non comportavano il trattamento di dati biometrici (art. 83, par. 2, lett. a), del Regolamento);

il titolare, nel fare affidamento sulle informazioni rese dalla società fornitrice del sistema, ha ritenuto di non consultare il proprio responsabile della protezione dei dati, iniziativa che avrebbe invece consentito allo stesso di avvedersi degli specifici ed elevati rischi per i diritti e le libertà degli interessati coinvolti e di orientare le proprie scelte al riguardo in maniera maggiormente consapevole e, se del caso, diversa (art. 83, par. 2, lett. b), del Regolamento);

il trattamento ha avuto ad oggetto dati biometrici intesi ad identificare in modo univoco gli interessati di cui agli artt. 4, n. 14), del Regolamento, dati che, analogamente a quelli sulla salute e genetici, sono tutelati in maniera particolarmente stringente dal Regolamento e dal Codice (cfr. art. 83, par. 2, lett. g), del Regolamento),

si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia alto (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Ciò premesso, nel tenere presente che, comunque, il titolare è costituito da un istituto scolastico, si ritiene che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le seguenti circostanze attenuanti:

il titolare ha offerto una buona cooperazione con l’Autorità nel corso dell’istruttoria, avendo, peraltro, fornito tempestiva comunicazione delle iniziative intraprese per porre rimedio alla violazione (art. 83, par. 2, lett. f), del Regolamento);

non risultano precedenti violazioni pertinenti commesse dall’Istituto (art. 83, par. 2, lett. e), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 4.000,00 (quattromila/00) per la violazione degli artt. 5, 6 e 9 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione della particolare natura dei dati personali oggetto di trattamento e dei connessi rischi per gli interessati nel contesto lavorativo.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dall’Istituto di Istruzione Superiore “P. Galluppi” Tropea per violazione degli artt. 5, 6 e 9 del Regolamento, nei termini di cui in motivazione;

ORDINA

all’Istituto di Istruzione Superiore “P. Galluppi” Tropea in persona del legale rappresentante pro-tempore, con sede legale in viale Coniugi Crigna snc - 89861 Tropea (VV), C.F. 96012510796, di pagare la somma di euro 4.000,00 (quattromila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al predetto Istituto, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 4.000,00 (quattromila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 27 marzo 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei

23/10/2014 n° 474
Area: Prassi, Circolari, Note

27/02/2025 n° 117
Area: Prassi, Circolari, Note

10/07/2025 n° 387
Area: Prassi, Circolari, Note

[doc. web n. 10167956]

Provvedimento del 10 luglio 2025

Registro dei provvedimenti
n. 387 del 10 luglio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, segretario generale reggente;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27/4/2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30/6/2003, n. 196 recante “Codice in materia di protezione dei dati personali” (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Introduzione

Questa Autorità ha aperto un’istruttoria nei confronti del Comune di Langhirano a seguito di una segnalazione in ordine a una violazione della normativa in materia di protezione dei dati personali derivante dalla diffusione di dati personali sul sito web istituzionale del predetto Comune. 

Nello specifico, dalla verifica preliminare effettuata dall’Ufficio, è emerso che sul sito istituzionale del Comune di Langhirano, nella sezione «Amministrazione trasparente», nell’area «Altri contenuti»/«Accesso civico», era possibile accedere a una pagina web (https://...) in cui erano presenti i seguenti file intitolati:

1.  «Esito accesso atti XX - XX», contenente il registro delle richieste accesso agli atti riferite a 148 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https://...);

2. «Accessi anno XX», contenente il registro delle richieste accesso agli atti riferite a 258 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https://...);

3. «Accessi anno XX», contenente il registro delle richieste accesso agli atti riferite a 359 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https:...);

4. «Accessi anno XX», contenente il registro delle richieste accesso agli atti riferite a 213 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https://...);

5. «Accessi anno XX», contenente il registro delle richieste accesso agli atti riferite a 216 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https://...);

6. «Accessi anno XX», contenente il registro delle richieste accesso agli atti riferite a 194 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https://...);

7. «Accessi anno XX», contenente il registro delle richieste accesso agli atti riferite a 67 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https://...).

I citati documenti contenevano nel campo oggetto e mittente dati e informazioni personali, con specifica indicazione del nominativo del soggetto che ha effettuato la richiesta di accesso e della descrizione di quanto domandato con indicazione in molti casi dei dati personali dei soggetti cui si riferiscono gli atti richiesti. Solo per fare alcuni esempi, al riguardo, è emerso che nel campo oggetto era riportato: «richiesta diritto di accesso ai documenti relativi all’immobile posto XX di proprietà XX»; «accesso pratiche edilizie: XX e nominativo dell’intestatario della pratica XX»; ecc.). 

2. La normativa in materia di protezione dei dati personali

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

I soggetti pubblici, come il Comune, possono diffondere «dati personali» nel rispetto della disciplina in materia di protezione dei dati personali (art. 2-ter, commi 1 e 3, del Codice) e – in ogni caso – del principio di «minimizzazione», in base al quale i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD). 

Quanto al registro degli accessi, l’Autorità Nazionale Anticorruzione (ANAC) – nelle proprie Linee guida adottate d’intesa con il Garante – ha indicato la possibilità che venga istituito il predetto registro presso gli enti, specificando al contempo che il «registro contiene l’elenco delle richieste con l’oggetto e la data e il relativo esito con la data della decisione ed è pubblicato, oscurando i dati personali eventualmente presenti, e tenuto aggiornato almeno ogni sei mesi nella sezione Amministrazione trasparente, “altri contenuti – accesso civico” del sito web istituzionale» (par. 9, Determinazione n. 1309 del 28/12/2016 recante le «Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art. 5 co. 2 del d.lgs. 33/2013», in G.U. n. 7 del 10/1/2017 e in https://www.anticorruzione.it/-/determinazione-n.-1309-del-28/12/2016-rif.-1. Del medesimo tenore anche il par. 8.2.b. della Circolare del Ministro per la pubblica amministrazione n. 1 del 2019, recante «Attuazione delle norme sull’accesso civico generalizzato (c.d. FOIA)», in http://www.funzionepubblica.gov.it/sites/funzionepubblica.gov.it/files/Circolare_FOIA_n_1_2019.pdf).

Peraltro, occorre tenere in considerazione che la stessa disciplina statale in materia di trasparenza prevede espressamente che «Le pubbliche amministrazioni possono disporre la pubblicazione nel proprio sito istituzionale di dati, informazioni e documenti che non hanno l’obbligo di pubblicare ai sensi del presente decreto o sulla base di specifica previsione di legge o regolamento, nel rispetto dei limiti indicati dall’articolo 5-bis, procedendo alla indicazione in forma anonima dei dati personali eventualmente presenti» (art. 7-bis, comma 3, del d. lgs. n. 33 del 14/3/2013).

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

Dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che il Comune di Langhirano – diffondendo i dati e le informazioni personali prima descritti inseriti nei registri degli accessi pubblicati online – ha tenuto una condotta non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate al predetto Comune le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando l’amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentita da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981). 

4. Memorie difensive.

Il Comune di Langhirano, con la nota prot. n. XX del XX, ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Nello specifico, quanto alla condotta tenuta, l’amministrazione ha evidenziato, fra l’altro che:

- «Lo schema del registro accessi è stato predisposto nel XX dall’Amministrazione Comunale in ottemperanza agli adempimenti normativi in materia. L’ente pertanto si considera in perfetta buona fede ritenendo che detta predisposizione rappresentasse un congruo bilanciamento di interessi tra esigenze di pubblicità e riservatezza»

- «Si evidenzia pertanto che la pubblicazione del dato sia esclusivamente frutto di un’interpretazione ampia del principio di trasparenza anche il relazione al dibattito politico-culturale sul tema di quegli anni»;

- «Si evidenzia inoltre che non sono comunque in generale presenti dati ulteriori quali codice fiscale, indirizzo di residenza, numero civico, luogo, data di nascita o comunque elementi che possano identificare la persona fisica in maniera certa ed incontrovertibile»;

- «i dati pubblicati nella sezione di amministrazione trasparente afferenti il registro degli accessi, sono stati immediatamente rimossi dal gestionale in attesa degli sviluppi del caso»;

- non «sono mai pervenute segnalazioni, reclami o doglianze in generale» e non «risulta che da parte degli interessati siano mai state esercitate azioni volte alla tutela dei loro diritti […]»;

- «tutti i dati sono da ritenersi comuni eccezion fatta per un solo accesso afferente l’anno XX protocollo n.XX nel quale sono presenti categorie particolari di dati anche se, stante la casella “oggetto” e “mittente” si può addivenire solo in via indiretta a desumere una condizione relativa allo stato di salute di un soggetto. Cionondimeno per tutti i dati inseriti nelle tabelle non sono comunque presenti dati ulteriori come codice fiscale, indirizzo di residenza, numero civico, luogo e data di nascita. Non c’è altresì in generale coincidenza tra mittente ed oggetto e la mera indicazione di nome e cognome, non pare di per sé sufficiente ad identificare in maniera univoca il soggetto».

5. Valutazioni del Garante

La questione oggetto del caso sottoposto all’attenzione del Garante riguarda la diffusione di dati e informazioni personali, contenuti nei registri delle richieste accesso agli atti (anni XX) pubblicati online (di cui ai file identificati supra ai nn. 1-7 del par. 1).

I citati documenti contenevano nel campo oggetto e mittente dati e informazioni personali di centinaia di istanze con specifica indicazione di: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito. In particolare, è stata lasciato in chiaro il nominativo del soggetto che ha effettuato la richiesta di accesso e la descrizione di quanto domandato con indicazione in molti casi dei dati personali dei soggetti cui si riferiscono gli atti richiesti (es: «richiesta diritto di accesso ai documenti relativi all’immobile posto in XX di proprietà XX»; «accesso pratiche edilizie: XX e nominativo dell’intestatario della pratica XX»; ecc.). 

Al riguardo, occorre evidenziare in via preliminare che la pubblicazione online nella sezione “Amministrazione trasparente” del sito web istituzionale (con conseguente indicizzazione nei motori di ricerca generalisti come Google) della circostanza di avere effettuato una richiesta di accesso presso un ente pubblico oppure quella riguardante il fatto che un soggetto abbia richiesto dati e informazioni riguardanti un terzo comporta la conoscenza generalizzata (tramite la diffusione) di informazioni di natura personale, che i soggetti interessati, per i motivi più vari, potrebbero non volere portare a conoscenza di soggetti estranei alla propria sfera personale e familiare, determinando una un’interferenza ingiustificata e sproporzionata nei relativi diritti e libertà. 

Nell’ambito dell’istruttoria aperta al riguardo da questa Autorità, il Comune ha confermato, nelle proprie memorie difensive, l’avvenuta diffusione online dei dati personali descritti in assenza di una idonea base giuridica, riconducendo la propria condotta a «un’interpretazione ampia del principio di trasparenza anche il relazione al dibattito politico-culturale sul tema […]». 

La ricostruzione offerta dall’ente chiarisce alcuni punti della questione ed è sicuramente utile ai fini della valutazione della condotta, ma non appare idonea a superare i rilievi critici mossi dall’Ufficio. 

Si ricorda infatti che – per il rispetto del principio di trasparenza amministrativa delle pp.aa. di cui all’art. 1, comma 1, del d. lgs. n. 33/2013 – nessuna norma di settore prevede un obbligo di pubblicazione dei dati personali di coloro che hanno effettuato accessi ad atti e documenti oppure dei soggetti cui si riferiscono gli atti richiesti. A ciò si aggiunge che l’istituzione presso ogni amministrazione del registro delle richieste di accesso, oltre a essere solo raccomandato nelle Linee guida di ANAC e nella Circolare del Ministro per la pubblica amministrazione prima citate (cfr. supra par. 2), non implica come necessaria e proporzionata anche l’operazione di diffusione online dei dati personali/nominativi di coloro che hanno effettuato le richieste di accesso e dei soggetti a cui i documenti si riferiscono. Nelle citate Linee guida di ANAC è, infatti, specificamente riportato che è sufficiente inserire «l’elenco delle richieste con l’oggetto e la data e il relativo esito con la data della decisione», avendo cura – in sede di pubblicazione – di «oscura[re] i dati personali eventualmente presenti». Molto chiara, in tal senso, è anche la Circolare del Ministro per la pubblica amministrazione, laddove – sempre con riferimento alla compilazione del registro degli accessi – è analogamente raccomandato che «ciascuna amministrazione indicherà gli estremi delle richieste ricevute e il relativo esito, omettendo la pubblicazione di dati personali eventualmente presenti» (par. 8.2.b).

L’ampia interpretazione del principio di trasparenza sostenuta dal Comune non può quindi giustificare la diffusione di dati personali online, in quanto non soddisfa nessuno dei presupposti di liceità previsti dall’art. 2-ter del Codice. La condotta posta in essere risulta peraltro in contrasto con quanto previsto dall’art. 7-bis, comma 3, del d. lgs. n. 33/2013, che prevede effettivamente la possibilità che le pp.aa. possano pubblicare sul sito web istituzionale dati, informazioni e documenti che non hanno l’obbligo di pubblicare sulla base di specifica previsione di legge o regolamento, ma sempre «procedendo alla indicazione in forma anonima dei dati personali eventualmente presenti». La diffusione dei dati personali descritti e oggetto di contestazione non è, inoltre, conforme alle indicazioni contenute nelle Linee guida dell’ANAC in materia e nella Circolare del Ministro per la pubblica amministrazione, che indicano chiaramente la necessità di procedere all’oscuramento dei dati personali presenti nel Registro degli accessi, fra cui sono compresi anche i nominativi dei soggetti istanti e di coloro cui si riferiscono i documenti richiesti. 

Analogamente, non può essere accolta l’eccezione sollevata dal Comune secondo la quale non vi sarebbe stata una violazione della disciplina in materia di protezione dei dati personali, in quanto – tenendo conto della circostanza che non sono stati diffusi accanto al nominativo dei soggetti interessati anche «dati ulteriori quali codice fiscale, indirizzo di residenza, numero civico, luogo, data di nascita» – non sarebbero stati diffusi «elementi che possano identificare la persona fisica in maniera certa ed incontrovertibile». Tale tesi è in contrasto con la disciplina europea in materia secondo la quale «dato personale» è, come detto, qualsiasi informazione riguardante una persona fisica identificata o identificabile e si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come, fra l’altro, proprio il «nome» (art. 4, par. 1, n. 1, del RGPD). Nel caso in esame, dall’istruttoria è emerso che il Comune ha pubblicato online proprio i nomi e cognomi dei soggetti interessati (soggetti che hanno effettuato l’accesso e talvolta anche soggetti a cui i documenti si riferiscono) contenuti nei registri degli accessi, ossia dati che identificano direttamente persone fisiche e rientrano, pertanto, sicuramente nella ricordata definizione di «dato personale» (indipendentemente dalla circostanza che siano accompagnati da ulteriori informazioni come codice fiscale, indirizzo di residenza, luogo e data di nascita).

Per altro verso, si rileva che, per stessa ammissione del Comune in almeno un procedimento i dati personali diffusi erano idonei a rivelare indirettamente anche la condizione di salute del soggetto interessato (art. 9 del RGPD), come nel caso della richiesta di accesso anno XX protocollo n. XX, avente a oggetto lo «stato pratica devoluzione contributo per rimozione barriere architettoniche - domanda presentata dalla sig.ra XX», con la conseguente violazione anche del divieto di diffusione di dati relativi alla salute previsto dall’art. 2-septies, comma 8, del Codice.

6. Esito dell’istruttoria relativa al reclamo presentato

Le circostanze evidenziate negli scritti difensivi del Comune, esaminate nel loro complesso, anche se sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non risultano sufficienti a consentire l’archiviazione del presente procedimento. Ciò in quanto, nel caso in esame, non ricorre alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019. 

In tale quadro, si confermano le valutazioni preliminari dell’Ufficio con la nota prot. n. XX del XX e si rileva – conformemente ai precedenti di questa Autorità in materia (provv. n. XX del XX, in www.gpdp.it, doc. web n. 9784482; n. 281 del 22/7/2021, ivi, doc. web n. 9696645) – che il trattamento di dati personali effettuato dal Comune di Langhirano non è conforme alla disciplina rilevante in materia di protezione dei dati personali, in quanto la diffusione dei dati personali prima descritti contenuti nei registri delle richieste accesso agli atti (anni XX) pubblicati online (di cui ai file identificati supra ai nn. 1-7 del par. 1) è avvenuta in violazione:

1)  delle disposizioni contenute dell’art. 2-ter, commi 1 e 3, del Codice; dell’art. 7-bis, comma 3, del d. lgs. n. 33/2013; dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD; nonché delle indicazioni contenute al riguardo nelle Linee guida dell’ANAC e nella Circolare del Ministro per la pubblica amministrazione (sopra richiamate al par. 2);

2) del principio di «minimizzazione» dei dati, che non sono risultati «limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (ossia la trasparenza amministrativa), previsto dall’art. 5, par. 1, lett. c), del RGPD;

3) del divieto di diffusione dei dati sulla salute dei soggetti interessati, previsto dall’art. 2-septies, comma 8, del Codice (cfr. anche l’art. 9, parr. 1, 2 e 4, del RGPD).

Considerato, tuttavia, che la condotta ha esaurito i suoi effetti, in quanto il titolare del trattamento ha dichiarato di aver provveduto a rimuovere i dati personali oggetto di contestazione dell’Ufficio dal sito web istituzionale, fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.

7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 del RGPD) 

Il Comune di Langhirano risulta aver violato gli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b); 9, parr. 1, 2 e 4 del RGPD nonché gli artt. 2-ter, commi 1 e 3; 2-septies, comma 8, del Codice (cfr. anche artt. 7-bis, comma 3, del d. lgs. n. 33/2013).

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave». 

Nel caso di specie, la violazione delle disposizioni citate – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso in esame. 

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In tal senso, quanto all’illecita diffusione online di dati personali si tiene conto del fatto che la stessa ha avuto a oggetto la diffusione online di dati personali in un caso anche idonei a rivelare lo stato di salute (art. 9 del RGPD), riferiti a diverse centinaia di persone (soggetti che hanno effettuato l’accesso e talvolta anche soggetti a cui i documenti si riferiscono, contenuti nei registri nei registri degli accessi anni XX) mantenuti sul sito web istituzionale almeno fino data dell’invio delle memorie difensive del Comune (aprile XX). Tale condotta deriva in ogni caso – secondo quanto dichiarato dal Comune – da un’ampia interpretazione del principio di trasparenza e risulta quindi essere di natura evidentemente colposa. 

Si ritiene pertanto che, nel caso di specie, il livello di gravità della condotta tenuta dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23/5/2023, punto 60).

Ciò premesso, oltre a tener conto della circostanza che il Comune di Langhirano è un ente di medie dimensioni (con poco più di 10.000 abitanti), si prendono in considerazione anche le seguenti circostanze attenuanti:

- il titolare del trattamento, a seguito della richiesta dell’Ufficio è intervenuto tempestivamente, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alle violazioni, attenuandone i possibili effetti negativi, dichiarando, a tal fine, che la condotta è cessata avendo provveduto a rimuovere i dati dal sito web istituzionale;

- il titolare del trattamento ha dichiarato di non aver in ogni caso ricevuto segnalazioni, reclami o richieste di esercizio dei diritti da parte dei soggetti interessati;

- non risultano precedenti violazioni del RGPD pertinenti commesse dall’ente.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniarie, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 12.000,00 (dodicimila) per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b); 9, parr. 1, 2 e 4; del RGPD; nonché gli artt. 2-ter, commi 1 e 3; 2-septies, comma 8, del Codice (cfr. anche artt. 7-bis, comma 3, del d. lgs. n. 33/2013), quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

In relazione alle specifiche circostanze del presente caso, riguardanti la diffusione di dati personali online, anche relativi alla salute, in assenza di una idonea base normativa (art. 2-ter, commi 1 e 3, del Codice), si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato dal Comune di Langhirano nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. i), e 83 del RGPD, e dell’art. 144 del Codice, per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b); 9, parr. 1, 2 e 4; del RGPD, nonché degli artt. 2-ter, commi 1 e 3; 2-septies, comma 8, del Codice;

ORDINA 

al Comune di Langhirano, in persona del legale rappresentante pro-tempore, con sede legale in P.zza Giacomo Ferrari, 1 - 43013 Langhirano (PR) – C.F. 00183800341 di pagare la somma di € 12.000,00 (dodicimila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione; 

INGIUNGE

al medesimo Comune di pagare la somma di euro € 12.000,00 (dodicimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019; 

- l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate ai sensi dell’art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 10 luglio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE REGGENTE
Filippi

23/10/2025 n° 1
Area: Prassi, Circolari, Note

Autorità Garante nazionale dei diritti delle persone con disabilità

OGGETTO: accesso alla classe da parte di professionisti sanitari - raccomandazione ai sensi dell’art. 4, comma1 lett. g) del d. lgs.n.20/2024.

Il decreto legislativo 5 febbraio 2024, n. 20 ha istituito, in attuazione della delega contenuta nella legge n. 227/21, l’Autorità «Garante nazionale dei diritti delle persone con disabilità», con
l’obiettivo di assicurare la piena attuazione e la tutela dei diritti e degli interessi delle persone con disabilità, con l’attribuzione di una serie complessa di attività e prerogative nell’ambito
dell’esercizio di vigilanza sul rispetto dei diritti e sulla conformità ai principi stabiliti dai trattati internazionali e dalle disposizioni di carattere europeo e nazionale, di contrasto a qualsivoglia
fenomeno discriminatorio e di promozione dell’effettivo godimento di diritti e libertà fondamentali delle persone con disabilità.
Ciò premesso, si rappresenta che è pervenuta alla scrivente Autorità una segnalazione da parte della madre di un alunno, con disturbo dello spettro autistico, con disabilità grave ai sensi
dell’art. 3, comma 3, della L. 104/92, iscritto alla classe III di primo grado di un Istituto Comprensivo con sede in Roma.
La segnalante ha denunciato l’impossibilità, per l’anno scolastico in corso, di garantire la continuità terapeutica al proprio figlio in orario scolastico. In particolare, nel corso del mese di
settembre, il medico della ASL non ha potuto prestare la propria attività specialistica nelle due giornate tempestivamente comunicate all’istituzione scolastica, come da piano terapeutico
obbligatorio.
Detta interruzione -sino ad oggi- del progetto terapeutico, finanziato con oneri a carico del Sistema Sanitario Nazionale, discenderebbe dalla mancata “autorizzazione” all’accesso del medico
da parte di tutti i genitori degli alunni della classe.
Al proposito, questa Autorità Garante ha accertato che la vicenda di cui alla segnalazione non costituirebbe un caso isolato; ed invero, in diverse istituzioni scolastiche accade che, come nella
fattispecie segnalata, i dirigenti scolastici procedano secondo il seguente iter nell’ipotesi di accesso alla classe da parte di esperti esterni:
- ricevuta la comunicazione delle date di ingresso da parte dell’esperto, viene consegnato ai genitori di tutti gli alunni della classe interessata il “modulo di consenso informato per l’accesso di
esperti esterni in classe”, nel quale i genitori sono tenuti a rilasciare una serie di dichiarazioni.
In particolare, i genitori devono dichiarare:
- “di essere stati informati dall’insegnante di sezione/classe in merito alla presenza di un esperto esterno impegnato nell’osservazione di un alunno presente nella classe/sezione” e di essere
“d’accordo con tale attività”;
- “di essere stati informati che il/la terapista/specialista sanitario si adeguerà al rispetto della Tutela della riservatezza della privacy, ai sensi della normativa vigente GDPR, non
diffondendo alcuna informazione relativa alle attività degli alunni presenti nella sezione/classe”.
Da ultimo, i genitori sono tenuti a dichiarare che “esprimono il proprio consenso con la sottoscrizione della presente dichiarazione”.
Nel caso, oggetto della segnalazione, il Regolamento d’istituto prevede che l’accesso ai suddetti soggetti esterni sia consentito previa “autorizzazione” del Dirigente Scolastico e, in
chiusura, riconosce che “per tutto quanto non previsto nel presente Regolamento si fa riferimento alla vigente normativa”.
Altri regolamenti d’istituto richiedono, oltre al consenso da parte di tutti i genitori, anche la dichiarazione sostitutiva del certificato generale del casellario giudiziale e dei carichi pendenti da
parte del terapista e dello specialista sanitario. Richiesta, quest’ultima, che risulta del tutto priva di giustificazione in considerazione del rapporto organico/lavorativo del soggetto “esterno” con il
Sistema Sanitario Nazionale ovvero con un soggetto accreditato e autorizzato, che -a sua volta-deve aver già verificato che il proprio dipendente/collaboratore possieda tutti i requisiti di
professionalità. Tale prassi integra, peraltro, un immotivato aggravamento degli adempimenti in capo al personale specializzato, tenuto a svolgere l’incarico affidatogli.
Ciò premesso, si evidenzia che la richiesta del consenso da parte di tutti i genitori all’accesso di esperti esterni (nel caso oggetto di segnalazione, peraltro, finalizzata alla corretta e
completa attuazione di un progetto terapeutico), a favore di alunni con disabilità si pone in contrasto con i principi, anche sovranazionali, che sanciscono l’obbligo da parte degli ordinamenti nazionali e
di tutti i soggetti interessati, in particolare istituzionali, di “assicurare la tutela, la concreta attuazione e la promozione dei diritti delle persone con disabilità in conformità a quanto previsto
dal diritto internazionale, dal diritto dell’Unione Europea e dalle norme nazionali”.
Il Garante, infatti, attraverso l’esercizio delle funzioni e delle prerogative riconosciute allo scrivente dal D. Lgs. 20/2024, ha il compito di vigilare sul rispetto dei diritti e sulla conformità ai
principi stabiliti dalla Convenzione delle Nazioni Unite sui diritti delle persone con disabilità, fatta a New York il 13 dicembre 2006 e ratificata e resa esecutiva con legge 18/2009, e dagli altri trattati internazionali, dalla Costituzione, dalle leggi dello Stato e dai regolamenti in materia di diritti delle
persone con disabilità.
Per assicurare il pieno rispetto di tali principi, è necessario che gli ordinamenti nazionali garantiscano l’incondizionato ed effettivo godimento dei diritti e delle libertà fondamentali delle
persone con disabilità, al pari degli altri cittadini, come il diritto allo studio e, contestualmente, il diritto alla salute degli alunni con disabilità, prevalenti anche rispetto ad altri interessi.
Come sottolineato dal Ministero dell’Istruzione e del Merito (https://www.istruzione.it/archivio/web/istruzione/famiglie/alunni_disabili.html), “il diritto allo
studio degli alunni con disabilità si realizza, secondo la normativa vigente, attraverso l’integrazione scolastica, che prevede l’obbligo dello Stato di predisporre adeguate misure di
sostegno, alle quali concorrono a livello territoriale, con proprie competenze, anche gli Enti Locali e il Servizio Sanitario Nazionale. La comunità scolastica e i servizi locali hanno pertanto il compito
di “prendere in carico” e di occuparsi della cura educativa e della crescita complessiva della persona con disabilità, fin dai primi anni di vita. Tale impegno collettivo ha una meta ben precisa:
predisporre le condizioni per la piena partecipazione della persona con disabilità alla vita sociale, eliminando tutti i possibili ostacoli e le barriere, fisiche e culturali, che possono frapporsi fra la
partecipazione sociale e la vita concreta delle persone con disabilità”.
In applicazione della legge 104/92 e delle “Linee guida per l’integrazione degli alunni con disabilità”, diramate con nota del 4 agosto 2009, le Istituzioni devono riconoscere la tutela, la
partecipazione alla vita sociale delle persone con disabilità, in particolare nei luoghi per essa fondamentali, come la scuola, durante l’infanzia e l’adolescenza.
Il Piano Educativo Individualizzato, stilato in ambito scolastico, deve tener conto inevitabilmente del piano terapeutico che concorre a determinare il percorso formativo dell’alunno
con disabilità nel suo complesso, assicurando un intervento adeguato allo sviluppo delle potenzialità ed alla gestione e superamento di problematiche connesse con la specifica disabilità.
In tale contesto, per “professionisti sanitari esterni” si intendono i soggetti iscritti ai rispettivi ordini professionali e incaricati dalla ASL competente, dagli enti/strutture accreditate e/o
autorizzate ai sensi della normativa vigente, ovvero facenti parte dell’équipe multidisciplinare contemplata nel piano terapeutico, nel progetto riabilitativo, assistenziale o nel progetto di vita
dell’alunno con disabilità.
La circostanza dell’accesso dello specialista per l’attuazione del piano terapeutico individuale è del tutto peculiare proprio in considerazione della necessità della presenza esterna
esclusivamente per l’alunno interessato, non richiedendo interazioni con il resto della classe e dovendo garantire la continuità terapeutica anche in contesto scolastico con i professionisti
incaricati. L’accesso dei suddetti soggetti esterni non viola alcuna norma relativa alla tutela della riservatezza degli (altri) studenti, anche minorenni, in quanto i piani terapeutici non prevedono che
gli specialisti (terapisti e operatori sanitari) interagiscano direttamente con gli (altri) alunni e -in ogni caso- sono tenuti a restare in classe sempre in contemporanea con il docente di riferimento.
Ciò premesso, ai sensi di quanto stabilito dal d.lgs. 5 febbraio 2024 n. 20 ed in particolare dall’art. 4, lett. a), b), c), g), l’Autorità Garante formula agli Uffici Scolastici Regionali la seguente
raccomandazione:
- nelle ipotesi di accesso di professionisti sanitari esterni incaricati (dipendenti della ASL, di ente/struttura accreditata e/o autorizzata presso il SSN/SSR, ovvero iscritti ai rispettivi albi
professionali e coinvolti nel piano terapeutico, riabilitativo, assistenziale o nel progetto di vita dell’alunno con disabilità), necessari per l’attuazione del progetto personalizzato in favore di alunni
e studenti con disabilità, deve essere rilasciata esclusivamente l’autorizzazione del Dirigente Scolastico, previa comunicazione del predetto accesso ai docenti e ai genitori degli altri alunni della
classe interessata e previa dichiarazione dello specialista in ordine al rispetto di tutte le disposizioni in materia di riservatezza, con l’impegno a non interagire direttamente con gli alunni non interessati
e a permanere nella classe sempre in presenza del docente.
Alla luce di quanto sopra, si sollecita la modifica di qualsivoglia regolamento d’istituto che preveda una procedura differente rispetto alla suddetta raccomandazione, ivi compresa la richiesta
del consenso dei docenti e dei genitori degli altri studenti a permettere l’ingresso in classe del professionista esterno, non potendo tale ingresso essere sottoposto, e quindi limitato, ritardato
ovvero negato, in caso di mancato consenso da parte anche di uno solo dei soggetti coinvolti.
Al fine di assicurare la tutela effettiva dei diritti costituzionalmente garantiti di tutti gli studenti interessati ed uniformità di condotta su tutto il territorio nazionale, si chiede di assicurare la
massima diffusione della presente raccomandazione presso tutte le istituzioni scolastiche, di ogni ordine e grado, pubbliche, paritarie e private.

Il Collegio
Maurizio Borgo
Francesco Vaia
Antonio Pelagatti

n° 3
Area: Normativa

1.  In attuazione dell'articolo 2, con decreto del Ministero dell'istruzione e del merito sono definite linee guida per l'insegnamento dell'educazione civica che individuano, ove non gia' previsti, specifici traguardi per lo sviluppo delle competenze e obiettivi specifici di apprendimento, in coerenza con le Indicazioni nazionali per il curricolo delle scuole dell'infanzia e del primo ciclo di istruzione, nonche' con il documento Indicazioni nazionali e nuovi scenari e con le Indicazioni nazionali per i licei e le linee guida per gli istituti tecnici e professionali vigenti, assumendo a riferimento le seguenti tematiche: (1)

a)  Costituzione, istituzioni dello Stato italiano, dell'Unione europea e degli organismi internazionali; storia della bandiera e dell'inno nazionale;

b)  Agenda 2030 per lo sviluppo sostenibile, adottata dall'Assemblea generale delle Nazioni Unite il 25 settembre 2015;

c)  educazione alla cittadinanza digitale, secondo le disposizioni dell'articolo 5;

d)  elementi fondamentali di diritto, con particolare riguardo al diritto del lavoro;

e)  educazione ambientale, sviluppo eco-sostenibile e tutela del patrimonio ambientale, delle identità, delle produzioni e delle eccellenze territoriali e agroalimentari;

f)  educazione alla legalità e al contrasto delle mafie;

g)  educazione al rispetto e alla valorizzazione del patrimonio culturale e dei beni pubblici comuni;

h)  formazione di base in materia di protezione civile;

h-bis) educazione finanziaria e assicurativa e pianificazione previdenziale, anche con riferimento all'utilizzo delle nuove tecnologie digitali di gestione del denaro e alle nuove forme di economia e finanza sostenibile (2)

h-ter) conoscenze di base in materia di sicurezza nei luoghi di lavoro. (5)

1-bis. Per l'insegnamento di cui alla lettera h-bis) del comma 1, il Ministero dell'istruzione e del merito determina i contenuti d'intesa con la Banca d'Italia, la Commissione nazionale per le società e la borsa, l'Istituto per la vigilanza sulle assicurazioni e la Commissione di vigilanza sui fondi pensione, sentito il Comitato per la programmazione e il coordinamento delle attività di educazione finanziaria e sentite le associazioni maggiormente rappresentative degli operatori e degli utenti bancari, finanziari e assicurativi. (3)

2.  Nell'ambito dell'insegnamento trasversale dell'educazione civica sono altresi' promosse l'educazione stradale, l'educazione alla salute e al benessere, l'educazione al volontariato e alla cittadinanza attiva e solidale e l'educazione finanziaria. Tutte le azioni sono finalizzate ad alimentare e rafforzare il rispetto nei confronti delle persone, degli animali e della natura. (4)

(1) Alinea così modificato dalla Legge 5 marzo 2024, n. 21.

(2) Lettera aggiunta dalla Legge 5 marzo 2024, n. 21.

(3) Comma inserito dalla Legge 5 marzo 2024, n. 21.

(4) Comma modificato dalla Legge 5 marzo 2024, n. 21 e successivamente dalla Legge 1° ottobre 2024, n. 150 in vigore dal 31 ottobre 2024.

(5) Lettera aggiunta dalla Legge 17 febbraio 2025, n. 21, in vigore dal 19 marzo 2025.

22/02/2021 n° 507
Area: Prassi, Circolari, Note

MINISTERO DELL'ISTRUZIONE

DIPARTIMENTO PER IL SISTEMA EDUCATIVO DI ISTRUZIONE E DI FORMAZIONE

DIREZIONE GENERALE PER LO STUDENTE, L'INCLUSIONE E L'ORIENTAMENTO SCOLASTICO

Ai Dirigenti Scolastici e

ai Coordinatori Didattici delle Istituzioni del sistema nazionale di istruzione

Ai Direttori Generali e ai Dirigenti titolari degli Uffici Scolastici Regionali

e p.c. Al Dirigente del Dipartimento Istruzione e cultura – Provincia Autonoma di Trento

Al Sovrintendente Scolastico per la Scuola in lingua italiana di Bolzano

All’Intendente Scolastico per la Scuola in lingua tedesca di Bolzano

All’Intendente Scolastico per la Scuola delle località ladine di Bolzano

Al Sovrintendente degli Studi per la Regione Valle D’Aosta

Al Capo di Gabinetto del Ministro dell’istruzione

Al Capo del Dipartimento per il sistema educativo di istruzione e formazione

Ai Coordinatori regionali di Educazione Fisica e Sportiva

LORO EMAIL

Oggetto: Uso dei dispositivi di protezione individuali (DPI) delle vie respiratorie nello svolgimento delle attività pratiche nella disciplina dell’educazione fisica/scienze motorie e sportive in ambito curricolare ed extra-curricolare. Esiti dei quesiti rivolti al Comitato Tecnico Scientifico del Dipartimento della Protezione Civile.

Nel dar seguito alla nota dipartimentale n. 1994 del 9 novembre 2020 ed al fine di offrire una corretta interpretazione alle disposizioni governative emanate in materia di contenimento del rischio epidemiologico da Covid-19 nell’ambito delle attività scolastiche in oggetto, sono stati proposti specifici quesiti al Comitato tecnico scientifico (CTS).

Il CTS, nel corrispondere alle richieste di chiarimento, ha affrontato le tematiche nella seduta n. 144 del 12 gennaio 2021 (della quale si è acquisito uno stralcio del verbale lo scorso 18 febbraio) rappresentando preliminarmente “la preoccupazione del riscontro potenziale di aggregazione tra persone all'interno degli impianti sportivi, soprattutto in ambienti chiusi e confinati in questa fase dell'epidemia sostenuta da SARS-CoV-2 e dalle sue varianti virali” prima di procedere alla trattazione delle principali questioni poste all’attenzione.

Com’è noto, il quadro normativo di riferimento è rappresentato dal DPCM 03 novembre 2020, che, all'articolo 1 comma 9 lettera d), prevede: “Ai fini del contenimento della diffusione del virus COVID-19, è fatto obbligo sull'intero territorio nazionale di avere sempre con sé dispositivi di protezione delle vie respiratorie, nonché obbligo di indossarli nei luoghi al chiuso diversi dalle abitazioni private e in tutti i luoghi all'aperto a eccezione dei casi in cui, per le caratteristiche dei luoghi o per le circostanze di fatto, sia garantita in modo continuativo la condizione di isolamento rispetto a persone non conviventi, e comunque con salvezza dei protocolli e delle linee guida anti-contagio previsti per le attività economiche, produttive, amministrative e sociali, nonché delle linee guida per il consumo di cibi e bevande, e con esclusione dei predetti obblighi:

a) per i soggetti che stanno svolgendo attività sportiva;

b) per i bambini di età inferiore ai sei anni;

c) per i soggetti con patologie o disabilità incompatibili con l'uso della mascherina, nonché per coloro che per interagire con i predetti versino nella stessa incompatibilità.”

Tali disposizioni sono state novellate dal DPCM 14 gennaio 2021, e in particolare, dall'articolo 1 comma 10 lettera

d) che recita: “Allo scopo di contrastare e contenere il diffondersi del virus COVID-19 sull'intero territorio nazionale si applicano le seguenti misure: d) è consentito svolgere attività sportiva o attività motoria all'aperto, anche presso aree attrezzate e parchi pubblici, ove accessibili, purché comunque nel rispetto della distanza di sicurezza interpersonale di almeno due metri per l'attività sportiva e di almeno un metro per ogni altra attività salvo che non sia necessaria la presenza di un accompagnatore per i minori o le persone non completamente autosufficienti.

Relativamente ai quesiti posti, il CTS si è espresso formulando il seguente parere, riconducibile sostanzialmente ai tre aspetti a fianco evidenziati:

Estratto del verbale CTS -Seduta n. 144 del 12 gennaio 2021

Estensibilità al settore scolastico delle deroghe previste agli obblighi di uso DPI: “Il CTS ritiene che le misure previste dall'art. 1 co. 1 lett. a), b), c) del DPCM 03/11/2020, novellato dal DPCM 14/01/2020, siano riferibili anche all'ambito scolastico.”

Attività di educazione fisica svolte al chiuso: “Il CTS ribadisce quanto approvato nella seduta n. 82 del 28/05/2020 relativamente al "Documento tecnico sull'ipotesi di rimodulazione delle misure contenitive nel settore scolastico", poi richiamato nel DM Istruzione n. 39 del 26/06/2020 concernente il "Piano Scuola 2020-2021", nel quale, in riferimento alle attività di educazione fisica svolte al chiuso, richiama il rispetto del distanziamento interpersonale di almeno 2 metri con adeguata aerazione, prediligendo lo svolgimento le attività fisiche sportive individuali.”

Attività di educazione fisica svolte all’aperto: “Il CTS, in riferimento alle attività didattiche di educazione fisica organizzate all'aperto, ritiene sufficiente quanto già previsto dall'art. 1 co. 9 lett. d) del DPCM 03/11/2020, cosi come novellato dall'art. 1 co. 10 lett. d) del DPCM 14/01/2021 relativamente alle attività sportive o motorie all'aperto, ribadendo, per queste ultime – a differenza delle attività sportive in cui non sono previsti obblighi di impiego delle protezioni delle vie respiratorie - l'obbligo di utilizzo delle mascherine.”

Dalla lettura sistematica del quadro normativo e da quanto espresso dal CTS nel citato parere, emerge la regola generale del distanziamento interpersonale dell’obbligo all’uso dei dispositivi di protezione individuale in luoghi al chiuso salvo le deroghe previste per chi stia svolgendo attività sportiva, per i bambini di età inferiore ai sei anni e per i soggetti con patologie o disabilità (citato articolo 1 comma 1 lettere a), b), c) del DPCM 03 novembre 2020, come successivamente novellato), deroghe da intendersi riferite anche all'ambito scolastico.

Inoltre, con riferimento alle attività di educazione fisica svolte al chiuso il CTS ha ribadito quanto già approvato nella seduta n. 82 del 28 maggio 2020 relativamente al "Documento tecnico sull'ipotesi di rimodulazione delle misure contenitive nel settore scolastico", poi richiamato nel decreto ministeriale n. 39 del 26 giugno 2020 concernente il "Piano Scuola 2020- 2021". In tale Documento tecnico si precisava che “Per le attività di educazione fisica, qualora svolte al chiuso (es. palestre), dovrà essere garantita adeguata aerazione e un distanziamento interpersonale di almeno 2 metri (in analogia a quanto disciplinato nell’allegato 17 del DPCM 17 maggio 2020). Nelle prime fasi di riapertura delle scuole sono sconsigliati i giochi di squadra e gli sport di gruppo, mentre sono da privilegiare le attività fisiche sportive individuali che permettano il distanziamento fisico. (omissis) Gli alunni dovranno indossare per l’intera permanenza nei locali scolastici una mascherina chirurgica o di comunità di propria dotazione , fatte salve le dovute eccezioni ( ad es. attività fisica, pausa pasto);…”

Con riferimento alle attività didattiche di educazione fisica organizzate all'aperto, il CTS ritiene sufficiente quanto già previsto dall'articolo. 1 comma 9 lettera d) del DPCM 03 novembre 2020, cosi come richiamato dall'articolo 1 comma 10 lettera d) del DPCM 14 gennaio 2021, sopra riportato.

Le Istituzioni scolastiche, nel rispetto delle situazioni epidemiologiche dei rispettivi territori, porranno particolare attenzione ai distanziamenti interpersonali, alle misure di sicurezza e a prediligere attività all’aperto o individuali, tenendo conto di quanto già esposto e qui di seguito riassunto:

 - esclusione dagli obblighi di dispositivi di protezione per i soggetti che stiano svolgendo attività didattiche di educazione fisica/scienze motorie e sportive all’aperto, con obbligo di distanziamento interpersonale di almeno due metri;

- esclusione dagli obblighi di dispositivi di protezione per i soggetti che stiano svolgendo attività didattiche di educazione fisica/scienze motorie e sportive al chiuso, con obbligo del rispetto del distanziamento interpersonale di almeno 2 metri con adeguata aerazione, prediligendo lo svolgimento le attività fisiche sportive individuali;

- obbligo dei dispositivi di protezione per ordinarie attività didattiche e/o motorie, organizzate dalle singole istituzioni scolastiche in spazi alternativi ubicati all’esterno degli edifici scolastici, comunque nel rispetto della distanza di sicurezza interpersonale di almeno un metro.

Si invitano, infine, le Istituzioni scolastiche ad osservare le predette disposizioni oltre che nell’ambito delle attività didattiche di educazione fisica/scienze motorie e sportive svolte al loro interno anche per le medesime attività curricolari ed extracurricolari organizzate all’esterno presso impianti sportivi, parchi o spazi alternativi, analogamente a quanto già precisato con la nota dipartimentale n. 1870 del 14 ottobre 2020, in quanto attività aventi carattere di ordinaria organizzazione didattica.

IL DIRETTORE GENERALE - DIREZIONE GENERALE PER GLI ORDINAMENTI SCOLASTICI E PER LA VALUTAZIONE DEL SISTEMA NAZIONALE DI ISTRUZIONE

Maria Assunta Palermo

(Firmato digitalmente)

IL DIRETTORE GENERALE - DIREZIONE GENERALE PER LO STUDENTE, L’INCLUSIONE E L’ORIENTAMENTO SCOLASTICO

Antimo Ponticello

(Firmato digitalmente)

n° 50
Area: Normativa

1.  Fatto salvo quanto stabilito in sede di contrattazione collettiva, il rappresentante dei lavoratori per la sicurezza:
a)  accede ai luoghi di lavoro in cui si svolgono le lavorazioni;
b)  è consultato preventivamente e tempestivamente in ordine alla valutazione dei rischi, alla individuazione, programmazione, realizzazione e verifica della prevenzione nella azienda o unità produttiva;
c)  è consultato sulla designazione del responsabile e degli addetti al servizio di prevenzione, alla attività di prevenzione incendi, al primo soccorso, alla evacuazione dei luoghi di lavoro e del medico competente;
d)  è consultato in merito all'organizzazione della formazione di cui all'articolo 37;
e)  riceve le informazioni e la documentazione aziendale inerente alla valutazione dei rischi e le misure di prevenzione relative, nonché quelle inerenti alle sostanze ed alle miscele pericolose, alle macchine, agli impianti, alla organizzazione e agli ambienti di lavoro, agli infortuni ed alle malattie professionali;
f)  riceve le informazioni provenienti dai servizi di vigilanza;
g)  riceve una formazione adeguata e, comunque, non inferiore a quella prevista dall'articolo 37;
h)  promuove l'elaborazione, l'individuazione e l'attuazione delle misure di prevenzione idonee a tutelare la salute e l'integrità fisica dei lavoratori;
i)  formula osservazioni in occasione di visite e verifiche effettuate dalle autorità competenti, dalle quali è, di norma, sentito;
l)  partecipa alla riunione periodica di cui all'articolo 35;
m)  fa proposte in merito alla attività di prevenzione;
n)  avverte il responsabile della azienda dei rischi individuati nel corso della sua attività;
o)  può fare ricorso alle autorità competenti qualora ritenga che le misure di prevenzione e protezione dai rischi adottate dal datore di lavoro o dai dirigenti e i mezzi impiegati per attuarle non siano idonei a garantire la sicurezza e la salute durante il lavoro.
2.  Il rappresentante dei lavoratori per la sicurezza deve disporre del tempo necessario allo svolgimento dell'incarico senza perdita di retribuzione, nonché dei mezzi e degli spazi necessari per l'esercizio delle funzioni e delle facoltà riconosciutegli, anche tramite l'accesso ai dati, di cui all'articolo 18, comma 1, lettera r), contenuti in applicazioni informatiche. Non può subire pregiudizio alcuno a causa dello svolgimento della propria attività e nei suoi confronti si applicano le stesse tutele previste dalla legge per le rappresentanze sindacali.
3.  Le modalità per l'esercizio delle funzioni di cui al comma 1 sono stabilite in sede di contrattazione collettiva nazionale.
4.  Il rappresentante dei lavoratori per la sicurezza, su sua richiesta e per l'espletamento della sua funzione, riceve copia del documento di cui all'articolo 17, comma 1, lettera a).
5.  I rappresentanti dei lavoratori per la sicurezza dei lavoratori rispettivamente del datore di lavoro committente e delle imprese appaltatrici, su loro richiesta e per l'espletamento della loro funzione, ricevono copia del documento di valutazione dei rischi di cui all'articolo 26, comma 3.
6.  Il rappresentante dei lavoratori per la sicurezza è tenuto al rispetto delle disposizioni di cui al decreto legislativo 30 giugno 2003, n. 196 e del segreto industriale relativamente alle informazioni contenute nel documento di valutazione dei rischi e nel documento di valutazione dei rischi di cui all'articolo 26, comma 3, nonché al segreto in ordine ai processi lavorativi di cui vengono a conoscenza nell'esercizio delle funzioni.
7.  L'esercizio delle funzioni di rappresentante dei lavoratori per la sicurezza è incompatibile con la nomina di responsabile o addetto al servizio di prevenzione e protezione.