Casi & Pareri

Sentenza 03/04/2025 n° 6724
Area: Giurisprudenza

In materia di accesso agli atti, non può essere accolta l’istanza di accesso civico generalizzato presentata dal concorrente in una procedura concorsuale volta ad ottenere copia di tutte le dichiarazioni relative ai titoli posseduti da tutti i candidati che lo precedono in graduatoria, nonché degli atti di valutazione di tali titoli, trattandosi di un’istanza massiva riguardante un numero manifestamente oneroso e sproporzionato di documenti la cui ostensione imporrebbe alla P.A. un irragionevole carico di lavoro.

Sentenza 02/09/2025 n° 652
Area: Giurisprudenza

1. In materia di accesso agli atti nei pubblici concorsi, le domande e i documenti prodotti dai candidati, i verbali, le schede di valutazione e gli stessi elaborati di un concorso pubblico costituiscono documenti rispetto ai quali deve essere esclusa in radice l’esigenza di riservatezza a tutela dei terzi, posto che i concorrenti, prendendo parte alla selezione, hanno evidentemente acconsentito a misurarsi in una competizione di cui la comparazione dei valori di ciascuno costituisce l'essenza della valutazione. Tali atti, quindi, una volta acquisiti alla procedura, escono dalla sfera personale dei partecipanti. 2. I concorrenti di pubblici concorsi alla cui documentazione si chiede di accedere non assumono, normalmente, neppure la veste di controinteressati in senso tecnico nel giudizio proposto ex art. 25, L. n. 241/1990##1173T; di talché l'omessa integrale intimazione in giudizio dei concorrenti cui si riferiscono gli atti fatti oggetto della richiesta ostensiva non arreca loro alcun significativo pregiudizio non potendo gli stessi opporsi all'ostensione dei documenti richiesti (si veda Tar Campania Napoli ord. 24 febbraio 2025 n. 1523). 3. Nel caso di specie, il TAR non ha ritenuto condivisibile la tesi dall’Amministrazione per cui le istanze, ove richiedono “ogni atto o documento da cui si evincano i criteri di valutazione utilizzati dalla commissione in applicazione a quanto previsto dall’Allegato al bando di concorso…al fine dell’attribuzione dei rispettivi punteggi, verifica e conferma titoli, scheda di valutazione prova orale con griglia di valutazione”, sarebbero eccessivamente generiche ed esplorative. Infatti, parte ricorrente ha individuato la documentazione da richiedere sulla base delle informazioni a sua disposizione, documentazione identificabile peraltro, almeno in parte, con la medesima già rilasciata limitatamente alle prove del ricorrente. 4. L'onere di specificazione dei documenti per i quali si esercita il diritto di accesso non implica la formale indicazione di tutti gli estremi identificativi (organo emanante, numero di protocollo, data di adozione dell'atto), ma può ritenersi assolto anche solo con l'indicazione dell'oggetto e dello scopo proprio dell'atto in questione ove, nei singoli casi di specie, risulti formulata in modo tale da mettere l'Amministrazione in condizione di comprendere la portata ed il contenuto della domanda (Tar Marche 26 aprile 2024 n. 409, Tar Sicilia Catania 30 gennaio 2023, n. 284 ). 5. Nel caso di specie, gli atti sono stati ritenuti sufficientemente individuati mediante la loro attinenza ai criteri di valutazione delle prove scritte e orali. Il partecipante di un concorso non può essere a conoscenza degli atti adottati dalla Commissione per orientare la propria attività. 6. In merito alla verifica dei titoli di riserva da parte di tutti i partecipanti al concorso sia vincitori che idonei, vale la regola per cui l’accesso deve essere limitato alla documentazione effettivamente esistente agli atti della procedura. Nel caso in esame le istanze sembrano richiedere all’Amministrazione un’attività di verifica ex novo senza indicare i documenti esistenti. 7. La domanda di accesso alle certificazioni presentate da idonei e vincitori e alle date di validità delle stesse per le categorie di riserva è specifica e non impone un’attività alla PA. L’accesso a tali documenti è consentito se finalizzata a difendere i propri interessi giuridici. La tutela della riservatezza non può ritenersi tout court ostativa al cd. “accesso difensivo”, ed anzi, salvo il giusto contrappeso con gli interessi cd. “sensibilissimi”, l’accesso difensivo è ritenuto ad essa prevalente. 8. L’art. 24, della L. n. 241 del 1990##1172T consente l’accesso agli atti amministrativi necessari per curare o per difendere i propri interessi giuridici anche laddove essi riguardino dati sensibili, salva l’applicazione dei principi di cui all’art. 60, D. Lgs. n. 196 del 2003##2277T, nel qual caso, il trattamento di atti contenenti dati idonei a rivelare, tra gli altri, lo stato di salute è consentito se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso ai documenti amministrativi è di rango almeno pari ai diritti dell'interessato, ovvero consiste in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile (tra le tante Tar Lazio Roma 6 febbraio 2024, n. 2288) Nel caso in esame, vista la non contestata appartenenza del ricorrente alle categorie di riserva, la documentazione richiesta rientra certamente tra gli atti amministrativi necessari per curare o per difendere i propri interessi giuridici anche laddove essi riguardino dati sensibili. 9. Con riguardo ai limiti all’accesso, negli atti richiesti (con particolare riguardo alle certificazioni eventualmente acquisite dalla PA), sono potenzialmente contenuti anche dati previsti dall'art. 60, comma 1, del D.Lgs. n. 196 del 2003##2277T, nel testo sostituito dall'art. 5, comma 1, lett. b), del DLgs. n. 101 del 2018##3705T, il quale prevede che "quando il trattamento concerne dati genetici, relativi alla salute, alla vita sessuale o all'orientamento sessuale della persona, il trattamento è consentito se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso ai documenti amministrativi, è di rango almeno pari ai diritti dell'interessato, ovvero consiste in un diritto della personalità o in un altro diritto o libertà fondamentale". Tali dati dovranno essere oscurati dall’Amministrazione. 11. La graduatoria degli idonei, essendo esclusa la sua pubblicazione per legge, si presenta come un documento non esistente, che deve essere formato dall’Amministrazione in risposta all’istanza e, quindi, non accessibile. 12. L’accesso non potrà riguardare tutte le domande e la documentazione dei vincitori e degli idonei, ma solo i vincitori e gli idonei con un punteggio uguale o superiore al ricorrente, non essendo individuabile un interesse del ricorrente medesimo ad accedere alle domande dei soggetti idonei con un punteggio inferiore.

Sentenza 22/07/2025 n° 1332
Area: Giurisprudenza

Lo studente destinatario di una sanzione disciplinare è legittimato ad accedere ai verbali e alle convocazioni dei Consigli di classe relativi agli altri due studenti coinvolti nei fatti in quanto documenti strumentali all’esercizio del suo diritto di difesa rispetto al provvedimento sanzionatorio irrogato, non potendo ritenersi valida motivazione di rigetto dell’istanza la diversità dei soggetti e delle condotte tenute dagli altri studenti trattandosi di una vicenda unitaria. Invece, il diniego di accesso agli ordini di servizio dei docenti e del personale ATA incaricati della vigilanza sugli studenti, motivato sulla loro “non esistenza”, non è censurabile in quanto al cospetto di una dichiarazione espressa dell'amministrazione di inesistenza di tale atto, non vi sono margini per ordinare l'accesso, rischiandosi altrimenti una statuizione impossibile da eseguire per mancanza del suo oggetto, che si profilerebbe, dunque, come inutiliter data. (Nel caso di specie uno studente destinatario di una sanzione disciplinare – cinque giorni di sospensione con divieto di partecipazione al viaggio di istruzione e abbassamento del voto di condotta - per avere portato a scuola una pistola giocattolo che, poi, un compagno aveva usato per sparare un gommino contro un terzo studente, aveva presentato istanza di accesso relativamente agli atti riguardanti gli altri due studenti coinvolti e agli ordini di servizio dei docenti e del personale ATA incaricati della vigilanza sugli studenti, il tutto al fine di verificare la legittimità dell’operato dell’Amministrazione nei suoi confronti. Il TAR ha riconosciuto all’invocato diritto di accesso un carattere “difensivo”, siccome strumentale alla cura alla difesa degli interessi giuridici del ricorrente, a fronte del quale la motivazione di rigetto addotta – la diversità dei soggetti e delle condotte tenute – non è stata ritenuta sufficiente anche considerato che la vicenda sottesa ai documenti richiesti di ostensione doveva considerarsi unitaria. Diversamente, non è censurabile il rigetto di accesso agli ordini di servizio dei docenti e del personale ATA incaricati della vigilanza sugli studenti in quanto documenti non esistenti trattandosi di normali compiti d’ufficio.)

Sentenza 10/03/2025 n° 332
Area: Giurisprudenza

1. In materia di accesso agli atti, il diniego di accesso non può essere disposto oltre i casi in cui risulta espressamente previsto, tra i quali non figura l’ipotesi di decadenza della responsabilità genitoriale, soprattutto quando è in gioco il superiore interesse del minore e il diritto di difesa di un genitore in sede giudiziaria. 2. Pertanto, in assenza di una specifica preclusione normativa e in presenza di un documentato diritto di difesa anche connesso al superiore interesse del minore, il genitore ha diritto ad accedere alla documentazione richiesta, con le dovute cautele per la tutela dei dati sensibili. Nel caso di specie, una madre alla quale era stato tolto l’affidamento del figlio ormai da oltre tre anni aveva domandato la copia di tutta la documentazione scolastica relativa al minore. La madre, coinvolta in un procedimento civile per contestare quello un illecito allontanamento coatto, aveva chiesto all’istituto comprensivo frequentato dal figlio pagelle, verifiche, verbali e registro delle assenze degli ultimi tre anni. Tali documenti erano necessari per supportare la propria posizione processuale, sottolineando come il rendimento scolastico e le condizioni psicofisiche del bambino si fossero aggravate dopo l’allontanamento. Il dirigente scolastico aveva respinto la richiesta, motivando il diniego con la decadenza dalla responsabilità genitoriale della madre: la donna non era quindi più legittimata secondo la scuola a ricevere i documenti.

Sentenza 22/05/2025 n° 1791
Area: Giurisprudenza

In materia di accesso agli atti negli appalti pubblici, deve considerarsi illegittimo il diniego di accesso civico generalizzato agli atti esecutivi di un rapporto contrattuale di appalto basato su una generica dichiarazione del controinteressato di sussistenza di “segreti tecnici o commerciali” e senza verificare la possibilità di applicare l’art. 5 bis, comma 4, D.Lgs. 33/2013##1187T, che prevede che “Se i limiti di cui ai commi 1 e 2 riguardano soltanto alcuni dati o alcune parti del documento richiesto, deve essere consentito l’accesso agli altri dati o alle altre parti.”

Sentenza 27/06/2025 n° 1212
Area: Giurisprudenza

1. In materia di accesso agli atti, un genitore separato ha diritto a conoscere la situazione universitaria del figlio maggiorenne, se tale informazione è necessaria per valutare la revisione dell’assegno di mantenimento. 2. La disciplina normativa dell’accesso di cui agli artt. 22 e ss. L. 241/1990##1170T non pone un limite assoluto all’accesso, ma richiede di effettuare un bilanciamento tra interessi contrapposti. Il diritto di accesso ai documenti amministrativi deve essere garantito quando la loro conoscenza è necessaria per curare o difendere i propri interessi giuridici, anche se non è ancora pendente un giudizio. 3. L’interesse del genitore volto alla valutazione della permanenza dell’obbligo di mantenimento prevalere sulla privacy della figlia, almeno per quanto riguarda l’iscrizione, il dettaglio degli esami sostenuti con le relative date e l’eventuale conseguimento della laurea. Per la comprova di tale interesse, il genitore non tenuto a dimostrare un danno già subito. 4. Pur sussistendo il diritto del genitore ad accedere alla documentazione universitaria, permane il limite rappresentato dall’interesse alla riservatezza del figlio maggiorenne relativo alle votazioni riportate nei singoli esami. Infatti, la conoscenza dei voti non è strettamente necessaria per valutare la permanenza dell’obbligo di mantenimento e, pertanto, resta tutelata dalla normativa sulla privacy. Il diritto-dovere dei genitori di istruire ed educare i figli di cui all’art. 30 della Cost. non può derogare in modo assoluto alle norme poste a tutela della riservatezza della persona, soprattutto quando il figlio è ormai adulto e autonomo. Nel caso di specie, un padre divorziato, non potendo ottenere dalla figlia maggiorenne informazioni sull’effettiva iscrizione all’università, sugli esami sostenuti e sull’eventuale conseguimento della laurea, si è rivolto all’Università competente con un’istanza di accesso agli atti. L’ateneo ha negato l’accesso, richiamando il proprio regolamento e la normativa nazionale sulla privacy, secondo cui il “curriculum studiorum” sarebbe ostensibile solo con il consenso dell’interessata. La figlia aveva espresso una motivata opposizione sul punto, ritenuta prevalente dall’Università nel bilanciamento tra diritto alla riservatezza e interesse del genitore. L’Università di Pisa è stata obbligata a consentire l’accesso ai dati richiesti, con esclusione delle votazioni.

Sentenza 17/12/2024 n° 22856
Area: Giurisprudenza

1. In materia di accesso agli atti, non vi è alcuna violazione del diritto di access quando la documentazione richiesta è già stata trasmessa o è comunque conoscibile dall’interessato. 2. Quando i documenti richiesti sono già nella disponibilità del richiedente, l’Amministrazione può legittimamente negare l’accesso, non essendo tenuta a fornire nuovamente atti già noti al destinatario. Nel caso di specie, un docente si vede privato di una supplenza perché non gli viene riconosciuto il punteggio di un titolo e chiede accesso agli atti per ottenere la documentazione utile per dimostrare l’illegittima decurtazione del punteggio nelle graduatorie ATA, che gli aveva impedito la stipula di un contratto, tuttavia la scuola rigetta l'istanza di accesso. Il TAR ha evidenziato che la procedura di valutazione del punteggio del ricorrente era stata condotta sulla base della documentazione già in suo possesso pertanto l’Amministrazione non era rimasta inerte, avendo invece fornito risposta prima della presentazione del ricorso.

Sentenza 17/07/2025 n° 6280
Area: Giurisprudenza

1. In materia di accesso agli atti nell’ambito delle procedure ad evidenza pubblica, al fine della limitazione del diritto di accesso agli atti e ai documenti tecnici, non è sufficiente l’affermazione che questi ultimi attengono al proprio know how. 2. L’ostensione può essere negata solo laddove sussista un’informazione specificatamente individuata, suscettibile di sfruttamento economico, in grado di garantire un vantaggio concorrenziale all’operatore nel mercato di riferimento e che la stessa presenti effettivi e comprovabili caratteri di segretezza oggettiva. 3. Laddove l’allegazione sul punto da parte dell’interessato sia del tutto lacunosa, generica e carente, non consentendo neppure di verificare se l’elemento in esame presenti effettivamente i caratteri di cui all’art. 98 del d.lgs. n. 30 del 2025 (e, cioè, se sia effettivamente segreto o, al contrario già noto e generalmente accessibile agli operatori del settore, se abbia un valore economico e se sia sottoposto a misure di protezione adeguate), la riservatezza non è configurabile e necessariamente prevale il diritto di difesa del controinteressato, ferma restando la persistente tutela, tramite gli strumenti appropriati (quali, ad esempio, l’art. 2598 c.c.), in caso di un uso improprio, da parte degli altri partecipanti alla procedura, delle informazioni acquisite relativamente all’organizzazione del proprio concorrente.

Sentenza 22/09/2025 n° 1487
Area: Giurisprudenza

1. In materia di accesso agli atti, chi partecipa alla gara ha diritto di accedere agli atti della procedura anche se non li ha impugnati o non è più in termini per farlo. 2. Se la stazione appaltante omette di ostendere l’offerta dell’aggiudicatario contestualmente alla comunicazione di aggiudicazione ex art. 90 del Codice e poi, a seguito di istanza di accesso dell’altra concorrente, la invita presso gli uffici della Stazione Appaltante, ma nega l’ostensione dell’offerta tecnica dell’aggiudicatario per la presenza di “segreti tecnico o commerciali”, il ricorso va proposto, ai sensi dell’art. 36, comma 4, del Codice, entro 10 giorni dalla data di quest’ultimo diniego implicito.

Sentenza 20/05/2025 n° 3884
Area: Giurisprudenza

E’ legittimo il provvedimento del Consiglio di classe con il quale è stata decisa l’esclusione dal viaggio di istruzione dello studente che nel corso dell’anno scolastico aveva riportato tre note disciplinari, mai contestate né impugnate dallo studente stesso. Il regolamento di istituto, infatti, è chiaro nel ricollegare la sanzione disciplinare dell’esclusione degli alunni dalle visite guidate/viaggi di istruzione alla semplice presenza di tre note disciplinare e ciò a prescindere dal contenuto di tali note o dalle vicende che le hanno determinate. La sanzione non appare sproporzionata, ma correttamente applicata in presenza dei presupposti previsti dal regolamento di istituto. La previsione regolamentare, peraltro, costituisce piena espressione della discrezionalità tecnica della scuola e, ove ritenuta illegittima, avrebbe dovuto essere autonomamente impugnata. Analogamente, la situazione riferibile ad altri alunni – comunque non provata nel ricorso – non rende di per sé illegittima la sanzione che risulta applicata in piena aderenza alle norme interne di istituto. Né i genitori possono lamentare un difetto di comunicazione circa la decisione assunta, tenuto conto che il Registro elettronico assolve, di per sé, per il tramite della sua consultazione, agli obblighi informativi che gravano sulla Scuola, circa il rendimento scolastico ed il comportamento degli alunni, essendo in esso visibili e consultabili tutte le note disciplinare riportate dagli alunni. I genitori hanno il diritto, ma anche il dovere, di accedere agli atti della scuola, compreso il Regolamento di Istituto, al fine di poter esercitare al meglio le proprie responsabilità nei confronti dei figli. Dal che deriva che era onere dei ricorrenti, secondo un criterio di ordinaria diligenza, non solo prendere visione delle note disciplinari addebitate al figlio nel corso dell’anno, ma anche delle prescrizioni interne della Scuola che, in presenza di tali note, determinavano la non partecipazione del minore alla gita scolastica.

Sentenza 04/09/2025 n° 7201
Area: Giurisprudenza

1. In materia di accesso civico generalizzato, laddove l’interesse alla conoscenza, protetto dall’art. 5, comma 2##1136T, fronteggi gli interessi-limite pubblici o privati di cui ai commi 1 e 2 dell’art. 5 bis##1187T del medesimo decreto, questo confronto è oggetto di una valutazione dell’amministrazione ad “alto tasso di discrezionalità” (Cons. Stato, Ad. Plen. n. 10 del 2020; Cons Stato, V, n. 1817 del 2019). 2. L’art. 35 del d.lgs. n. 36/2023##6028T, nonostante l’identità della rubrica con l’art. 53 del d.lgs. n.50/2016##1625T, ha codificato l’applicazione dell’accesso civico generalizzato al settore dei contratti pubblici, normativizzando i principi affermati dall’Adunanza Plenaria n. 10 del 2020 attraverso il riconoscimento a tutti i cittadini della “possibilità di richiedere, attraverso l’istituto dell’accesso civico generalizzato, la documentazione di gara nei limiti consentiti e disciplinati dall’art. 5-bis del d. lgs. 14 marzo 2013, n. 33##1187T”. 3. Se è vero che l’art. 35 del d.lgs. n. 36/2023##6028T ha codificato l’accesso civico generalizzato in relazione al settore degli appalti, non per questo ha fatto venire meno l’operatività dei c.d. interessi-limite pubblici o privati di cui ai commi 1 e 2 dell’art. 5 bis del d.lgs. n. 33/2013##1187T. 4. Spetta all’amministrazione operare un bilanciamento concreto dei contrapposti interessi all’ostensione e alla riservatezza non potendo comunque l’accesso civico generalizzato portare alla divulgazione di informazioni sensibili che possano ledere gli interessi alla tutela dei segreti commerciali dell’aggiudicatario e falsare la concorrenza futura. 5. La stessa Corte di Giustizia dell’Unione europea, con ordinanza del 10 giugno 2025, C- 686-24, ha affermato che l’art. 39 della direttiva 2014/25/UE deve essere interpretato nel senso che “osta a una disciplina nazionale in materia di aggiudicazione di appalti pubblici, che richiede che l’accesso alla documentazione contenente segreti tecnici o commerciali trasmessa da un offerente sia concesso a un altro offerente, qualora tale accesso sia necessario al fine di garantire il diritto alla tutela giurisdizionale effettiva di quest’ultimo nell’ambito di una procedura connessa all’aggiudicazione dell’appalto, senza che tale disciplina consenta agli enti aggiudicatori di procedere a un bilanciamento tra tale diritto e le esigenze relative alla tutela dei segreti tecnici o commerciali”. 6. Se la Corte di Giustizia dell’Unione europea esclude l’accesso automatico agli atti di gara a fini di difesa tra soggetti che hanno preso parte alla procedura e richiede il bilanciamento caso per caso tra il diritto di accesso agli atti di gara e la tutela dei segreti commerciali e industriali, a maggior ragione tale bilanciamento deve essere operato rispetto ad un soggetto terzo e del tutto estraneo alla procedura, pena la possibilità per quest’ultimo di ottenere una ostensione maggiore di quella dei partecipanti e di frustrare la ratio sottesa alla tutela del know – how aziendale. 7. Nel caso di specie, l’Amministrazione ha correttamente messo a confronto e ritenuto prevalente l’opposizione della controinteressata, motivata sul contenuto riservato dell’offerta tecnica “composta da elementi e dati, sia di natura tecnica che commerciale, acquisiti sulla base del proprio know-how, derivante dalla pluriennale esperienza nella gestione di strutture analoghe a quella oggetto di gara”.

Sentenza 29/07/2025 n° 2786
Area: Giurisprudenza

E’ legittima la decisione del Consiglio di Classe che, sulla base delle sei insufficienze riportate e bilanciando altri fattori, quali motivazione, partecipazione, impegno, autonomia, padronanza delle competenze, ha ritenuto che lo studente non presentasse una preparazione complessivamente idonea a consentire una proficua prosecuzione degli studi. Né tale decisione può essere censurata per disparità di trattamento con altri studenti posto che siffatta censura è prospettabile solamente in presenza di situazioni identiche, che, non solo parte ricorrente non ha rappresentato, ma che difficilmente possono esistere, stante la peculiarità della situazione di ogni anno scolastico e di ogni studente. Anche il breve tempo dedicato alla valutazione, pari a quattro minuti circa secondo i calcoli – scarsamente significativi – effettuati da parte ricorrente in modo del tutto presuntivo e senza dedurre anomalie, è un profilo non sindacabile in sede di legittimità in quanto manca una predeterminazione, sia pure di massima, ad opera di leggi o di regolamenti, dei tempi da dedicare all’esame dei singoli alunni, né è possibile, di norma, stabilire quali alunni abbiano fruito di maggiore o minore tempo per la valutazione. (Fattispecie nella quale uno studente di scuola secondaria di secondo grado al termine dell’a.s. 2020/2021 non veniva ammesso alla classe successiva avendo riportato l’insufficienza in sei materie, di cui tre fondamentali. Egli lamentava, tra l’altro, che il Collegio dei docenti avrebbe tardivamente adottato - ad anno scolastico quasi terminato - i criteri di valutazione. Il TAR osserva che il Collegio dei docenti si è limitato a confermare i criteri di valutazione già adottati negli anni precedenti, senza introdurre quegli elementi di novità che avrebbe richiesto una preventiva ponderazione. Inoltre i criteri assunti hanno una caratterizzazione "generica", rimettendo ogni valutazione al Consigli di classe, organo quest'ultimo competente ad esprimere un giudizio sull'idoneità dell'ammissione alla classe successiva.)

Sentenza 10/09/2025 n° 679
Area: Giurisprudenza

E’ legittima la mancata ammissione all’esame di Stato dell’alunno che abbia riportato nello scrutinio finale tre insufficienze, votazioni che risultano essere il frutto di valutazioni correttamente operate nel corso del pentamestre. Lo studente, infatti, ha ricevuto nel pentamestre un numero sufficiente di valutazioni (tre) in due nelle materie in questione, mentre nella terza ha effettuato soltanto due verifiche a causa delle assenze prolungate, per motivi di salute. Né può avere rilievo il fatto che una valutazione sia scaturita dalle osservazioni sistematiche durante il pentamestre, posto che, accanto alle modalità di verifica tradizionali, il ricorso alle osservazioni sistematiche è modalità legittima di valutazione del profitto dello studente espressamente prevista dal PTOF. Parimenti, non induce a diverse conclusioni la circostanza che il giudizio finale sia stato formulato a maggioranza e non all’unanimità, né che le insufficienze siano state registrate in materie non caratterizzanti dell’indirizzo scienze umane - mentre i docenti delle discipline fondamentali di tale indirizzo si erano espressi in senso favorevole all’ammissione - e nemmeno che due delle insufficienze riportate fossero lievi e attestassero comunque un miglioramento rispetto al trimestre, rimasto tuttavia sotto la soglia della sufficienza. La previsione di legge, infatti, non richiede che la decisione in ordine all’ammissione all’esame sia assunta all’unanimità, né contempla l’attribuzione di un peso diverso alle varie discipline, nè distingue in base al carattere più o meno grave delle insufficienze riportate; non è consentito neppure assumere che un voto relativamente prossimo alla sufficienza debba essere necessariamente arrotondato a sei, non esistendo alcun obbligo in tal senso e costituendo la votazione da attribuire allo studente espressione di discrezionalità tecnica non sindacabile nel merito. I problemi di salute sofferti dallo studente sono stati debitamente considerati dalla scuola tanto che le assenze documentate e continuative per malattia non sono state computate ai fini dell’ammissione all’esame di Stato. Tuttavia, nessuna previsione normativa consente al Consiglio di classe di prescindere dal profitto, che nella specie è risultato insufficiente, non costituendo le assenze per malattia una ragione di esonero dal necessario conseguimento del risultato minimo di profitto richiesto. La comunicazione tra l’Istituto e la famiglia risulta essere stata complessivamente idonea ad assicurare la conoscenza, tempo per tempo, della situazione scolastica del discente, sia tramite il registro elettronico, dal quale erano evincibili le votazioni e le annotazioni riguardanti il discente, sia attraverso i colloqui avuti dai genitori con una docente e con il Dirigente. Va altresì considerato che il ricorrente era maggiorenne sin dall’inizio dell’anno scolastico. A fronte di tale circostanza, anche una eventuale inadeguata soddisfazione delle esigenze informative dei genitori non potrebbe infirmare, di per sé, il giudizio di non ammissione dello studente all’esame di Stato. Tale giudizio riguarda, infatti, un individuo adulto, in grado di acquisire autonomamente ogni elemento utile ad autodeterminarsi, anche attraverso il contatto diretto con gli insegnanti. (Fattispecie nella quale uno studente dell’indirizzo di scienze umane, maggiorenne dall’inizio dell’a.s., aveva riportato nello scrutinio finale il voto di 4/10 in fisica, 5/10 in storia dell’arte e 5/10 in scienze naturali ed un voto di 6/10 in comportamento. Il TAR rileva come, ferma la legittimità delle valutazioni espresse, il caso di specie esuli dalla previsione – eccezionale - di cui all’art. 13, comma 2 lett. d) del d.lgs. 62/2017 che consente al Consiglio di classe, con adeguata motivazione, di ammettere all’esame conclusivo anche lo studente che presenti un voto inferiore a 6/10 in una disciplina o gruppo di discipline.)

Sentenza 12/02/2025 n° 75
Area: Giurisprudenza

1. In materia di accesso agli atti, ai fini della sussistenza del presupposto legittimante l’esercizio del diritto di accesso ai documenti della pubblica Amministrazione, devono esistere, al contempo, un interesse giuridicamente rilevante del richiedente, non necessariamente consistente in un interesse legittimo o in un diritto soggettivo, ma giuridicamente tutelato (non potendo identificarsi col generico ed indistinto interesse di ogni cittadino al buon andamento dell'attività amministrativa) ed un rapporto di strumentalità tra tale interesse e la documentazione di cui si chiede l’ostensione (“… un interesse diretto, concreto e attuale, corrispondente ad una situazione giuridicamente tutelata e collegata al documento al quale è chiesto l’accesso”), fermo rimanendo che l’interesse all’accesso va valutato in astratto, senza che possa essere operato, con riferimento al caso specifico, alcun apprezzamento in ordine alla fondatezza o all’ammissibilità della domanda giudiziale che gli interessati potrebbero eventualmente proporre sulla base dei documenti acquisiti mediante l’accesso stesso (cfr., da ultimo, Cons. St., Ad. Plen., 18 marzo 2021, n. 4##2387L). 2. Il nesso di strumentalità fra l’interesse all’accesso e la sua rilevanza ai fini della proposizione di un eventuale giudizio, inoltre, va inteso in senso ampio, in quanto la documentazione richiesta deve essere, genericamente, mezzo utile per la difesa dell’interesse giuridicamente rilevante, e non strumento di prova diretta della lesione di tale interesse (Cons. St., sez. V, 7 settembre 2004, n. 5873 e sez. VI, 22 ottobre 2002, n. 5814). 3. L’accesso va in ogni caso garantito qualora sia strumentale e funzionale a qualunque forma di tutela, sia giudiziale che stragiudiziale, anche prima ed indipendentemente dall’effettivo esercizio di un’azione giudiziale. L’art. 24, comma 7, l. n. 241 del 1990##1172T prescrive infatti che “deve comunque essere garantito ai richiedenti l’accesso ai documenti amministrativi la cui conoscenza sia necessaria per curare o per difendere i propri interessi giuridici”. Di talché, allorquando la conoscenza di atti sia necessaria all’esercizio di dette prerogative (che altrimenti non potrebbero esplicarsi, in tutto o in parte), l’interesse alla riservatezza ovvero le ragioni di segretezza, o ancora gli altri, diversi, interessi sottesi ai casi di limitazione o esclusione del diritto di accesso (cfr. artt. 22, co. 3, e 24 co. 1, 2, 3, 5 e 6##1170T), recedono, determinando la riespansione della regola generale costituita dalla ostensibilità degli atti amministrativi. 4. La tutela del diritto di difesa costituisce, in definitiva, baluardo insuperabile, tale da giustificare l’esercizio del diritto di accesso anche in situazioni in cui, ordinariamente, la legge lo esclude, conformemente ai principi generali, anche di valenza sovranazionale, volti a garantire l’equo contemperamento tra le esigenze di conoscenza e di trasparenza (artt. 15 TFUE e 42 Carta UE), quelle di segretezza a protezione dell’esercizio di determinate attività volte a garantire la sicurezza e l’ordine pubblico ovvero la protezione dei dati personali, e il diritto di difesa (in tali termini, T.A.R. Lazio, Sez. Terza Quater, sentenza 22 gennaio 2025 n. 1252). 5. L’accesso disciplinato dal capo V della legge n. 241 del 1990 ha ad oggetto i ‘documenti amministrativi’, nelle tipologie indicate dall’art. 22, co. 1, lett. d) ##1170T, a mente del quale per “documento amministrativo” si intende “ogni rappresentazione grafica, fotocinematografica, elettromagnetica o di qualunque altra specie del contenuto di atti, anche interni o non relativi ad uno specifico procedimento, detenuti da una pubblica amministrazione e concernenti attività di pubblico interesse, indipendentemente dalla natura pubblicistica o privatistica della loro disciplina sostanziale”. Rientrano, dunque, in siffatta nozione gli atti detenuti dall’Amministrazione nella loro materialità che identificano ad esempio statuizioni, accertamenti, intendimenti, pareri, volizioni, valutazioni degli organi pubblici. 6. Nel caso di specie, un insegnante, durante lo svolgimento delle lezioni, è stato vittima di ripetute aggressioni verbali culminate con il lancio di uno zaino, ad opera di un alunno, per le quali ha presentato atto di denuncia querela. Al fine di tutelare adeguatamente i propri interessi in giudizio, civile e penale, il professore ha presentato istanza di accesso per avere l’ostensione di quanto annotato sul registro di classe elettronico nei giorni in cui si sono verificati gli episodi, nonché la copia dei provvedimenti disciplinari eventualmente adottati a carico dell’alunno. La scuola rigettava l’istanza chiedendo che fosse esplicitato in modo incontrovertibile l’interesse che vanta il professore con l’indicazione dei tempi di trattamento dei dati e delle modalità del trattamento degli stessi dati per i quali si richiede l’accesso, nonché gli eventuali destinatari dei dati stessi. Il TAR ha ritenuto che il ricorrente fosse senza titolare di un interesse qualificato all’accesso ai documenti amministrativi ai sensi dell’art. 22, co. 1, lett. b), l. n. 241 del 1990##1170T, afferendo specificamente la documentazione richiesta alla propria prestazione lavorativa alle dipendenze dell’Istituto scolastico. L’interesse alla conoscenza della documentazione richiesta è meritevole di tutela, in quanto qualificabile come interesse strumentale alle dichiarate finalità difensive in relazione alla posizione del ricorrente, che ha sporto denuncia querela nei confronti dell’alunno per la condotta dallo stesso posta in essere, risultando l’accesso alla documentazione funzionale e rilevante ai fini della difesa in giudizio del richiedente l'accesso delle proprie ragioni. La decisione della scuola è illegittima in quanto frappone ostacoli ed oneri al diritto di accesso estranei al perimetro normativo di riferimento, sia nella misura in cui chiede che venga “esplicitato in modo incontrovertibile l’interesse che vanta il professore (essendo tale interesse evidentemente funzionale alla tutela del diritto di difesa) sia perché impone al richiedente “l’indicazione dei tempi di trattamento dei dati e delle modalità del trattamento degli stessi dati per i quali si richiede l’accesso, nonché gli eventuali destinatari dei dati stessi” (trattandosi quest’ultimo di un onere non normativamente previsto in capo al soggetto privato che formula un’istanza ostensiva).

Sentenza 22/04/2008 n° 3960
Area: Giurisprudenza

1. In materia di accesso agli atti, le disposizioni in materia di diritto di accesso mirano a coniugare la ratio dell’istituto, quale fattore di trasparenza e garanzia di imparzialità dell’Amministrazione – come enunciato dall’art. 22 della citata legge n. 241/90##1170T – con il bilanciamento da effettuare rispetto ad interessi contrapposti, fra cui – specificamente – quelli dei soggetti “individuati o facilmente individuabili”…che dall’esercizio dell’accesso vedrebbero compromesso il loro diritto alla riservatezza” (art. 22 cit., comma 1, lettera c)##1170T; il successivo articolo 24 della medesima legge##1172T, che disciplina i casi di esclusione dal diritto in questione, prevede al primo e al sesto comma casi di possibile sottrazione all’accesso e fra questi – al primo comma, punto d) – quelli relativi a “procedimenti selettivi, nei confronti dei documenti amministrativi contenenti informazioni di carattere psicoattitudinale relativi a terzi”; al terzo comma, inoltre, si dispone l’inammissibilità delle istanze di accesso, preordinate ad un controllo generalizzato dell’operato delle pubbliche amministrazioni. A norma del medesimo art. 24, comma 7 della legge n. 241/1990##1172T, “deve…essere garantito ai richiedenti l’accesso ai documenti amministrativi, la cui conoscenza sia necessaria per curare o per difendere i propri interessi giuridici”; nel caso di “documenti contenenti dati sensibili e giudiziari”, però, la medesima norma precisa che l’accesso è consentito solo “nei limiti in cui sia strettamente indispensabile” (in esito ad un sostanziale bilanciamento di interessi, operato già a livello legislativo come regola di massima, ma da integrare con ogni evidenza – caso per caso – in considerazione delle specifiche esigenze da soddisfare). 2. Le esigenze di tutela, cui rispondono le prescrizioni dei primi sei commi del medesimo art. 24 L. n. 241/90##1172T, nonché dei conseguenti regolamenti attuativi, sono recessive rispetto al diritto di difesa (anche previa disapplicazione delle norme regolamentari contrastanti), ma non in modo assoluto: il tenore letterale e la ratio della disposizione legislativa in questione impongono infatti di volta in volta un’attenta valutazione, circa la stretta funzionalità dell’accesso alla salvaguardia di posizioni soggettive protette, che si assumano lese, con ulteriore salvaguardia, attraverso i limiti così imposti, degli altri interessi coinvolti, talvolta rispondenti a principi di pari rango costituzionale rispetto al diritto di difesa. Nel caso di specie, una candidata all’esame di maturità aveva chiesto copia delle schede personali di tutti gli altri candidati esaminati dalla commissione, dei giudizi di ammissione all’esame di Stato di ciascuno di essi, di tutti gli elaborati presentati nelle prove scritte di esame degli altri candidati, dei giudizi completi espressi in relazione a tutte le prove degli altri candidati, oltre che di tutti i verbali della commissione esaminatrice. L’Amministrazione scolastica rendeva disponibili gli atti inerenti le prove di esame sostenute dalla presentatrice dell’istanza, nonché parte dei verbali attestanti i lavori della Commissione esaminatrice, mentre dichiarava non consentito l’accesso ai documenti inerenti agli “altri candidati”, non essendo stato dimostrato uno specifico interesse della ricorrente alla conoscenza degli atti relativi agli altri candidati, tenuto conto del carattere non concorsuale degli esami di maturità. Secondo il Consiglio di Stato, nella fattispecie, esisteva un interesse ancora non formalizzato dell’istante a contestare l’esito sfavorevole del proprio esame di maturità; tale interesse presupponeva l’immediata esigenza difensiva di accedere agli atti, concernenti le prove sostenute dall’istante stessa e tale esigenza è stata soddisfatta dall’Amministrazione; non altrettanto giustificata, tuttavia, appariva fin dall’origine una richiesta di generalizzato controllo dell’intera procedura di esame, per tutti i candidati ammessi alle medesime prove nell’anno in questione: quanto sopra, dovendo ritenersi precluso un controllo generalizzato dell’attività amministrativa e non essendo dimostrabile che le esigenze difensive della candidata, giudicata sfavorevolmente, fossero pregiudicate dalla omessa conoscenza di tutti i dati relativi agli altri candidati, il cui diritto alla riservatezza avrebbe potuto, in tale ipotesi, essere sacrificato. Un allargamento di prospettiva dell’accesso sarebbe stato nella fattispecie configurabile solo in rapporto ad argomentazioni concrete, prospettate dall’interessata dopo una prima valutazione della documentazione in proprio possesso.

Sentenza 01/07/2025 n° 1116
Area: Giurisprudenza

1. In materia di accesso agli atti, i genitori separati che versano un assegno di mantenimento hanno diritto di accedere ai dati relativi alla carriera universitaria del figlio maggiorenne, purché limitatamente alle informazioni necessarie per valutare la prosecuzione degli studi. 2. Sussiste l’esistenza di un interesse diretto e attuale del genitore tenuto conto che l’accesso deve essere consentito quando serve per valutare se adire il giudice per una possibile revisione dell’assegno di mantenimento. 3. Le esigenze difensive prevalgono sull’interesse alla riservatezza del figlio maggiorenne, poiché il percorso universitario incide sull’obbligo di mantenimento sia nell’an che nel quantum. 4. Il genitore può accedere alla conoscenza dell’effettiva iscrizione del figlio, al dettaglio degli esami sostenuti con le relative date (escludendo però le votazioni), all’eventuale conseguimento della laurea e alla data del titolo. Resta invece esclusa dall’accesso ogni certificazione sui pagamenti delle tasse universitarie, considerato che tale obbligo è posto a carico del solo studente. Nel caso di specie, un padre ha presentato ricorso contro l’Università che aveva negato l’accesso alla documentazione sulla carriera universitaria del figlio, in particolare la certificazione degli esami sostenuti con votazioni, gli esami residui, l’anno di iscrizione e frequentazione, oltre all’attestazione della regolarità nei pagamenti delle tasse universitarie. L’Università aveva respinto la richiesta motivando il diniego con la mancata indicazione di un interesse giuridicamente tutelato e la contraria volontà del figlio, che aveva invocato la tutela della propria riservatezza secondo la normativa sulla protezione dei dati personali.

Sentenza 26/03/2025 n° 2354
Area: Giurisprudenza

E’ legittimo il provvedimento con il quale la scuola, in adempimento del decreto cautelare del giudice di prime cure, ha rivalutato i risultati delle prove scritte e orali dell’esame di Stato con applicazione delle indicazioni del PDP ed ha confermato il mancato superamento dell’esame da parte del ricorrente. Emerge, infatti, con chiarezza dagli atti che la scuola ha concesso allo studente idonee misure compensative e dispensative ed ha applicato il PDP dello studente, riesaminando gli schemi redatti dallo studente e approvandoli per essere utilizzati in sede di esame. Non risulta inoltre alcuna violazione dell’O.M. 55/2024 atteso che tale ordinanza non indica al suo interno particolari griglie di valutazione per gli studenti affetti da DSA, ma consente soltanto di ‘adattare’, ove necessario, al PDP le griglie di valutazione delle prove scritte e la griglia di valutazione della prova orale di cui all’allegato A. Né, contrariamente a quanto sostenuto dal ricorrente, l’ordinanza citata impone l’obbligo di menzionare nel verbale se la deliberazione sia stata assunta a maggioranza o all’unanimità. In ogni caso il verbale sottoscritto da tutti i componenti della commissione dà atto della regolarità delle operazioni svolte e delle valutazioni condivise dalla commissione nella sua interezza. (In primo grado, il TAR aveva dichiarato l’infondatezza del ricorso ritenendo che non vi fossero violazioni del PDP, né vizi nell’attività valutativa dell’Amministrazione che, in quanto espressione di discrezionalità tecnica, è insindacabile per il GA salvo che per illogicità e contraddittorietà manifeste. Inoltre, per gli alunni affetti da DSA è interesse preminente non già quello di conseguire comunque la promozione alla classe successiva, ma quello di ottenere dal percorso scolastico un’adeguata preparazione che permetta di affrontare con profitto gli studi successivi o di inserirsi agevolmente nel mondo del lavoro.)

Sentenza 15/07/2025 n° 1229
Area: Giurisprudenza

1. In materia di accesso agli atti, il diniego di accesso non può essere disposto oltre i casi in cui risulta espressamente previsto, tra i quali non figura l’ipotesi di decadenza della responsabilità genitoriale. La richiesta di accesso agli atti risulta invece connessa alla tutela del superiore interesse del minore nonché al diritto di difesa nell’ambito del procedimento civile del genitore. 2. In assenza di una specifica preclusione normativa, la madre ha diritto ad accedere alla documentazione richiesta, con le dovute cautele per la tutela dei dati sensibili. Nel caso di specie, la ricorrente, alla quale era stato tolto l’affidamento del figlio, aveva chiesto copia di tutta la documentazione scolastica relativa al figlio minore. La madre era parte in un procedimento civile per contestare un asserito “illecito allontanamento coatto” del figlio, e, a tal fine, aveva chiesto all’istituto scolastico del figlio documentazione a supporto della propria posizione processuale, sottolineando come il rendimento scolastico e le condizioni psicofisiche del bambino si fossero aggravate dopo l’allontanamento. La richiesta veniva respinta sulla base della decadenza dalla responsabilità genitoriale della madre: secondo l’istituto, la donna non era più legittimata a ricevere i documenti, come se fosse un soggetto estraneo.

Sentenza 11/04/2003 n° 1205
Area: Giurisprudenza

Nel caso in esame, un genitore ha chiesto all’I.N.P.S. il rilascio di copia dell'estratto conto previdenziale della figlia e del coniuge, dal quale è separato e ha, inoltre, chiesto di conoscere se la figlia beneficia di reddito di cittadinanza, avendo quest’ultima promosso un giudizio per ottenere il riconoscimento di un assegno di mantenimento. L’I.N.P.S. ha negato l'accesso richiesto, ritenendo prevalente l’esigenza di riservatezza, anche in considerazione della possibilità che l’acquisizione del documento richiesto possa essere disposta dal giudice, avanti al quale la figlia ha domandato il mantenimento. Il T.A.R., tuttavia, ha annullato il diniego impugnato dal genitore, ritenendo innanzitutto lo stesso titolare di un interesse diretto, concreto ed attuale all’accesso, ai sensi dell’art. 22 comma 1 lettera b) della legge n. 241/90, stante la necessaria strumentalità degli atti richiesti rispetto al procedimento instaurato dalla figlia controinteressata. Precisamente, l’accesso documentale difensivo può essere esercitato indipendentemente dalla previsione e dall’esercizio da parte del giudice civile dei poteri processuali di esibizione di documenti amministrativi e, altresì, degli specifici poteri istruttori previsti in materia di famiglia. Pertanto, deve essere riconosciuta la possibilità per il privato di ricorrere agli ordinari strumenti offerti dalla legge n. 241/1990 per ottenere gli stessi dati che il giudice potrebbe intimare all'Amministrazione di consegnare.

Sentenza 10/07/2025 n° 25509
Area: Giurisprudenza

E’ configurabile il delitto di falso in atti pubblici quando la falsità ricade, oltre che su contenuti alla prova dei quali l'atto è specificamente destinato, anche su requisiti formali e necessari dell'attestazione, quali le persone presenti, il tempo e il luogo di formazione dell'atto, asseverati dal pubblico ufficiale. Il verbale della seduta di un consiglio di classe costituisce atto pubblico, dotato di fede privilegiata poiché idoneo a documentare le attività e gli adempimenti necessari per la realizzazione dei compiti istituzionali dell'organo collegiale previsto per legge in ambito scolastico ed a produrre effetti nei confronti dei terzi. Il reato di falso ideologico pacificamente si configura come ipotesi necessariamente dolosa, ancorché a dolo generico costituito dalla consapevolezza della falsità dell'attestazione. Si deve escludere il reato quando il falso derivi da una semplice leggerezza dell'agente oppure da una negligenza dell'agente, poiché il sistema vigente non incrimina il falso documentale colposo. In particolare, va conferito rilievo, per quanto concerne il tema dell'esclusione del dolo del reato, all'esistenza di prassi amministrative di enti od organismi collegiali proprio riguardo alla redazione di atti quali i verbali, concludendo per la configurabilità di comportamenti negligenti, per non aver compiutamente accertato il pubblico ufficiale le condizioni di redazione formalmente necessarie dell'atto, che, tuttavia, escludono la sussistenza di un atteggiamento doloso e, dunque, del reato di falso, che non è possibile strutturare come fattispecie colposa (Nel caso di specie una docente, in qualità di segretario, aveva firmato per altro docente presente senza però indicare che la firma non è autografa e addirittura in un'occasione aveva sottoscritto il documento al posto del docente quando questi era assente giustificato. Nell’annullare con rinvio la Cassazione ha rilevato che i giudici di merito non avevano preso in considerazione le giustificazioni della docente imputata. Il fatto che l'imputata abbia creduto di poter attestare la presenza, in sedute del consiglio di classe, di una docente effettivamente intervenuta, come pacificamente risulta dalle sentenze di merito, mediante la sigla della firma "per conto di lei", è circostanza che potrebbe rilevare e che la Corte d'Appello non ha tenuto in considerazione, quantomeno per far comprendere le ragioni della sua irrilevanza ai fini della configurabilità dell'elemento soggettivo del reato, irrilevanza certamente possibile. La peculiare circostanza che la docente risulta assente giustificata e, contemporaneamente, falsamente firmataria di un verbale relativo, unita agli incarichi scolastici conferiti alla ricorrente in quell'anno scolastico, contribuiscono a colorare un profilo di eventuale mera negligenza o leggerezza da parte di quest'ultima, date le specifiche circostanze del caso concreto, caratterizzato anche dall'inspiegabilità del falso. Per quanto concerne la posizione della Dirigente Scolastica, la Corte d'Appello, ribaltando la decisione su impugnazione della parte civile, ha condannato agli effetti civili la DS, ritenendo che l'autorità giudiziaria non fosse già a conoscenza dei reati di falso in atto pubblico commessi nella scuola dell'imputata, quando ella ne ha avuto notizia e ha deciso di non sporgere denuncia; d'altra parte, secondo la Corte territoriale, è irrilevante, ai fini della configurabilità del reato ex art. 361 cod. pen., che ella abbia riposto affidamento nel fatto che le due più dirette interessate alla vicenda avrebbero sporto denuncia. La Cassazione ha annullato con rinvio in quanto la Corte di Appello non ha svolto la doverosa attività di rinnovazione della prova dichiarativa decisiva - si tratta di tre testimoni fondamentali, escusse in primo grado - prima di riformare la sentenza di assoluzione del Tribunale e di condannare la DS ricorrente agli effetti civili)

23/01/2025 n° 31
Area: Prassi, Circolari, Note

Parere su istanza di accesso civico - 23 gennaio 2025

Registro dei provvedimenti n. 31 del 23 gennaio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27/4/2016, «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)» (di seguito “RGPD”);

VISTO l’art. 154, comma 1, lett. g), del Codice in materia di protezione dei dati personali - d.lgs. 30/6/2003, n. 196 (di seguito “Codice”);

VISTO l’art. 5, del d.lgs. n. 33 del 14/3/2013, recante «Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni»;

VISTA la Determinazione n. 1309 del 28/12/2016 dell’Autorità Nazionale Anticorruzione-ANAC, adottata d’intesa con il Garante, intitolata «Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art. 5 co. 2 del d.lgs. 33/2013», in G.U. serie generale n. 7 del 10/1/2017 e in https://www.anticorruzione.it/-/determinazione-n.-1309-del-28/12/2016-rif.-1 (di seguito “Linee guida dell’ANAC in materia di accesso civico”);

VISTO il provvedimento del Garante n. 521 del 15/12/2016, contenente la citata «Intesa sullo schema delle Linee guida ANAC recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico», in www.gpdp.it, doc. web n. 5860807;

VISTA la richiesta di parere del Responsabile della prevenzione della corruzione e della trasparenza (RPCT) di “Sapienza Università di Roma” (di seguito “Ateneo”), presentata ai sensi dell’art. 5, comma 7, del d.lgs. n. 33/2013 recante «Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni»;

CONSIDERATO che il predetto art. 5, comma 7, prevede che il Garante si pronunci entro il termine di dieci giorni dalla richiesta;

RITENUTO che il breve lasso di tempo per rendere il previsto parere non permette allo stato la convocazione in tempo utile del Collegio del Garante;

RITENUTO quindi che ricorrono i presupposti per l’applicazione dell’art. 5, comma 7, del Regolamento n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante, nella parte in cui è previsto che «Nei casi di particolare urgenza e di indifferibilità che non permettono la convocazione in tempo utile del Garante, il presidente può adottare i provvedimenti di competenza dell’organo, i quali cessano di avere efficacia sin dal momento della loro adozione se non sono ratificati dal Garante nella prima riunione utile, da convocarsi non oltre il trentesimo giorno» (in www.gpdp.it, doc. web, n. 1098801);

Vista la documentazione in atti;

PREMESSO

Con la nota in atti, il Responsabile della prevenzione della corruzione e della trasparenza dell’Ateneo ha chiesto al Garante il parere previsto dall’art. 5, comma 7, del d.lgs. n. 33/2013, nell’ambito del procedimento relativo a una richiesta di riesame su un provvedimento di diniego di accesso civico.

Dalla documentazione agli atti risulta che è stata presentata una richiesta di accesso civico al predetto Ateneo – ai sensi dell’art. 5 comma 2, del d.lgs. n. 33/2013 – avente a oggetto copia del Diploma/Certificato di Laurea conseguito [da soggetto identificato in atti].

L’Ateneo ha negato l’accesso civico, richiamando il limite di cui all’art. 5-bis, comma 2, lett. a), del d. lgs. n. 33/2013 inerente all’esistenza di un pregiudizio alla tutela della protezione dei dati personali. Ciò anche considerando – come riportato nella richiesta di parere a questa Autorità dal RPCT – che il soggetto controinteressato si è opposto «all’ostensione dei dati richiesti […] nell’ambito del procedimento di accesso documentale ex art. 22 e ss. della L. 241/90 attivato [dal medesimo soggetto istante]».

Il soggetto istante, ritenendo il rifiuto non corretto, ha pertanto presentato richiesta di riesame al Responsabile della prevenzione della corruzione e della trasparenza dell’Ateneo, insistendo nella propria richiesta. Al riguardo, a sostegno del proprio diritto di ricevere la copia del diploma è stato rappresentato che il MIUR tramite l’Anagrafe nazionale dell’istruzione superiore (ANIS) «sta procedendo alla pubblicazione dei titoli di studio accademici, in quanto certificazioni professionali di natura legale, che saranno a disposizione presso la già istituita banca dati, accessibile con Spid. Pertanto il titolo di studio rientra già tra i documenti soggetti alla pubblicazione da parte delle pubbliche amministrazioni»,

OSSERVA

1. Introduzione

La disciplina di settore in materia di accesso civico contenuta nel d.lgs. n. 33/2013 prevede, fra l’altro, che «allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico, chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del presente decreto, nel rispetto dei limiti relativi alla tutela di interessi giuridicamente rilevanti secondo quanto previsto dall’articolo 5-bis» (art. 5, comma 2).

La medesima normativa sancisce che l’accesso civico generalizzato è “escluso” nei previsti dall’art. 5-bis, comma 3,) ed è rifiutato, fra l’altro, «se il diniego è necessario per evitare un pregiudizio concreto alla tutela [della] protezione dei dati personali, in conformità con la disciplina legislativa in materia» (art. 5-bis, comma 2, lett. a). Per dato personale si intende «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)» e si considera “identificabile” «la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, RGPD).

Ciò premesso, occorre aver presente che nelle valutazioni da effettuare in ordine alla possibile ostensione di dati personali (o documenti che li contengono) tramite l’istituto dell’accesso civico, deve essere tenuto in considerazione che – a differenza dei documenti a cui si è avuto accesso ai sensi della l. n. 241 del 7/8/1990 – i dati e i documenti che si ricevono a seguito di una istanza di accesso civico divengono «pubblici e chiunque ha diritto di conoscerli, di fruirne gratuitamente e di utilizzarli e riutilizzarli ai sensi dell’articolo 7», sebbene il loro ulteriore trattamento vada in ogni caso effettuato nel rispetto dei limiti derivanti dalla normativa in materia di protezione dei dati personali (art. 3, comma 1, del d.lgs. n. 33/2013). Di conseguenza, è anche alla luce di tale amplificato regime di pubblicità dell’accesso civico che va valutata l’esistenza di un possibile pregiudizio concreto alla protezione dei dati personali del soggetto controinteressato, in base al quale decidere se rifiutare o meno l’accesso ai dati, informazioni o documenti richiesti.

Inoltre, è necessario rispettare, in ogni caso, i principi sanciti nel RGPD di «limitazione della finalità» e di «minimizzazione dei dati», in base ai quali i dati personali devono essere «raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità», nonché «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. b e c, del RGPD).

In tale contesto, occorre altresì tenere conto delle ragionevoli aspettative di confidenzialità degli interessati e della non prevedibilità delle conseguenze derivanti a questi ultimi dalla conoscibilità da parte di chiunque dei dati personali richiesti (cfr. par. 8.1 delle Linee guida dell’ANAC in materia di accesso civico, cit.).

2. Osservazioni sul caso sottoposto all’attenzione del Garante

Con particolare riferimento al caso in esame, risulta che l’istanza di accesso civico ha a oggetto la copia di un Diploma/Certificato di Laurea. Si tratta di un documento che contiene informazioni e dati personali, fra cui non solo di dati anagrafici (es.: nominativo e data di nascita), ma anche ulteriori notizie riguardanti il corso di studi effettuato, l’anno del conseguimento del diploma universitario e le indicazioni sulla valutazione ottenuta, che, per motivi individuali, non sempre si desidera portare a conoscenza di soggetti terzi estranei. In tal senso, dagli atti risulta che anche il soggetto controinteressato, nell’ambito di un diverso procedimento di accesso documentale ai sensi degli artt. 22 ss. della l. n. 241 del 7/8/1990 attivato dallo stesso soggetto istante sul medesimo documento, si è opposto all’ostensione dei dati.

La questione dell’accesso civico generalizzato alla copia di certificati universitari e titoli di studio (es.: diploma di laurea) è già stata esaminata dal Garante in precedenti pareri, peraltro proprio nei confronti di “Sapienza Università di Roma”, in cui si è concordato con il rifiuto opposto dall’Ateneo (cfr. parere n. 37 del 4/2/2022, in www.gpdp.it, doc. web n. 9746944 e provvedimenti ivi citati. Cfr. anche provv. n. 278 del 9/5/2018, ivi, doc. web n. 9099910).

In tale quadro – conformemente ai precedenti orientamenti di questa Autorità – si ritiene che, ai sensi della normativa vigente e delle indicazioni contenute nelle Linee guida dell'ANAC in materia di accesso civico, l’Ateneo abbia correttamente respinto l’accesso civico al Diploma di laurea richiesto.

Come infatti ricordato nel citato provvedimento del Garante n. 521/2016, contenente l’«Intesa sullo schema delle Linee guida ANAC recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico», (cfr. anche provv. n. 241 del 24/4/2024, in www.gpdp.it, doc. web n. 10018263; n. 37 del 29/1/2023, ivi, doc. web n. 9870805; n. 35 del 29/1/2023, ivi, doc. web n. 9867327; n. 15 del 18/1/2018, ivi, doc. web n. 7689066; provv. n. 360 del 10/8/2017, ivi, doc. web n. 6969290; provv n. 506 del 30/11/2017, ivi, doc. web n. 7316508), in base alla giurisprudenza della Corte europea dei diritti dell’uomo, l’articolo 10 della Cedu non conferisce, in via generale, all’individuo il diritto di accesso alle informazioni in possesso delle autorità pubbliche, né obbliga tali autorità a conferire allo stesso le medesime informazioni. Un tale diritto, o un tale obbligo, può essere, infatti, ricondotto alla più ampia libertà di espressione tutelata dall’art. 10 della Cedu, soltanto in situazioni particolari e a specifiche condizioni. Tra queste, assume particolare rilievo la circostanza che le informazioni oggetto di accesso attengano a questioni di interesse pubblico e pertanto, l’accesso alle informazioni in possesso delle autorità pubbliche possa ritenersi strumentale all’esercizio della libertà del richiedente di ricevere e di diffondere al pubblico le medesime informazioni, tale per cui il diniego dell’accesso costituirebbe una lesione di questa libertà (cfr. sul punto il caso M. H. B. v. Ungheria, 8 Novembre 2016, parr. 156 e 160-163).

Inoltre, come indicato anche nelle Linee guida dell’ANAC sull’accesso civico, l’accesso “generalizzato” è servente rispetto alla conoscenza di dati e documenti detenuti dalla p.a. «Allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico» (art. 5, comma 2, del d. lgs. n. 33/2013) (cfr. par. 8.1). Di conseguenza, quando l’oggetto della richiesta di accesso riguarda documenti contenenti informazioni relative a persone fisiche (e in quanto tali «dati personali») non necessarie al raggiungimento del predetto scopo, oppure informazioni personali di dettaglio che risultino comunque sproporzionate, eccedenti e non pertinenti, l’ente destinatario della richiesta, nel dare riscontro alla richiesta di accesso generalizzato, dovrebbe in linea generale scegliere le modalità meno pregiudizievoli per i diritti dell’interessato (ivi).

Nel caso in esame, dagli atti non emergono con evidente chiarezza elementi che possano consentire di ritenere che la conoscenza generalizzata del Certificato di laurea del soggetto controinteressato possa essere strumentale a «favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico», facendo supporre al più l’esistenza di un interesse meramente privato alla relativa ostensione. Ciò comporta che sulla base della tipologia, della natura dei dati e delle informazioni personali contenuti nel diploma di laurea oggetto dell’istanza di accesso civico, la relativa conoscenza a soggetti terzi estranei  – tenuto conto del particolare regime di pubblicità dei dati oggetto di accesso civico – determina un’interferenza ingiustificata e sproporzionata nei diritti e libertà del soggetto controinteressato (art. 5, par. 1, lett. b e c, del RGPD), arrecando a quest’ultimo un possibile pregiudizio alla tutela dei dati personali (art. 5-bis, comma 2, lett. a, del d. lgs. n. 33/2013).

Peraltro, anche in relazione a quanto riportato dal soggetto istante, in ordine alla circostanza che il MIUR tramite l’Anagrafe nazionale dell’istruzione superiore (ANIS) starebbe «procedendo alla pubblicazione dei titoli di studio accademici, in quanto certificazioni professionali di natura legale, che saranno a disposizione presso la già istituita banca dati, accessibile con Spid», si rappresenta che tale richiamo non risulta utile per supportare la richiesta di riesame del provvedimento di diniego dell’accesso civico.

L’ANIS, infatti, contiene i dati previsti dall’art. 3, comma 1, del Decreto del Ministero dell’Università e della ricerca del 30/9/2022, fra cui anche i titoli di studio. Tuttavia, tali dati non sono oggetto di pubblicazione e accessibili a chiunque – come sostenuto dal soggetto istante in maniera non conforme alla disciplina di settore – in quanto il citato decreto ministeriale prevede che tali informazioni sono accessibili secondo le modalità previste dagli artt. 4 e 5, nonché in particolare ai cittadini secondo le modalità di autenticazione ivi previste, unicamente in relazione ai «propri dati».

Ciò significa che per i titoli di studio contenuti nell’ANIS sussiste uno specifico regime di accessibilità disciplinato dalla normativa di settore, che non può essere superato dalla disciplina in materia di accesso civico. Ciò anche ai sensi dell’art. 5-bis, comma 3, del d. lgs. n. 33/2013 laddove è previsto che l’accesso civico «è escluso nei casi […] in cui l’accesso è subordinato dalla disciplina vigente al rispetto di specifiche condizioni, modalità o limiti […]» (cfr. anche Linee guida dell’ANAC in materia di accesso civico, par. 6.3).

Resta, in ogni caso, salva la possibilità di accedere al documento richiesto, laddove – utilizzando il diverso istituto dell’accesso ai documenti amministrativi ai sensi degli artt. 22 ss. della l. n. 241/1990 – sia dimostrata l’esistenza di «un interesse diretto, concreto e attuale, corrispondente ad una situazione giuridicamente tutelata e collegata al documento al quale è chiesto l’accesso».

TUTTO CIÒ PREMESSO IL GARANTE

esprime parere nei termini suesposti in merito alla richiesta del Responsabile della prevenzione della corruzione e della trasparenza di “Sapienza Università di Roma”, ai sensi dell’art. 5, comma 7, del d. lgs. n. 33/2013.

Roma, 23 gennaio 2025

04/08/2025 n° 454
Area: Prassi, Circolari, Note

[doc. web n. 10162698]

Parere sullo schema di decreto ministeriale del Ministero dell’istruzione e del Merito concernente “l’implementazione di un servizio digitale in materia di Intelligenza Artificiale nell’ambito della Piattaforma Unica di cui all’articolo 21, commi 4-ter e seguenti, del decreto-legge del 22 giugno 2023, n. 75, convertito, con modificazioni, dalla legge del 10 agosto 2023, n. 112” e le “Linee guida per l’introduzione dell’Intelligenza Artificiale nelle Istituzioni scolastiche” - 4 agosto 2025

Registro dei provvedimenti
n. 454 del 4 agosto 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Angelo Fanizza, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il d.lgs. 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali” (di seguito, Codice);

VISTO il Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (di seguito, anche «Intelligenza Artificiale» o «IA») e modifica i regolamenti (CE) n, 300/2008, (UE) n, 167/2013, (UE) n, 168/2013, (UE) 2018/858, (UE) 2018/1139 e (UE) 2019/2144 e le direttive 2014/90/UE, (UE) 2016/797 e (UE) 2020/1828 (di seguito, anche «Regolamento sull’IA»);

VISTO il Decreto-Legge 22 giugno 2023, n. 75, recante “Disposizioni urgenti in materia di organizzazione delle pubbliche amministrazioni, di agricoltura, di sport, di lavoro e per l’organizzazione del Giubileo della Chiesa cattolica per l’anno 2025” convertito, con modificazioni, dalla Legge 10 agosto 2023, n. 112 e, in particolare, l’articolo 21, comma 4-ter, secondo cui il Ministero dell’Istruzione e del Merito (di seguito, MIM) promuove la progettazione, lo sviluppo e la realizzazione della «Piattaforma Famiglie e Studenti», anche denominata «Unica» (di seguito, anche «Piattaforma» o «Unica»), quale canale unico di accesso al patrimonio informativo detenuto dal MIM e dalle Istituzioni Scolastiche, attraverso il quale famiglie e studenti possono fruire con modalità semplificate dei servizi digitali offerti dal Ministero e dalle Istituzioni Scolastiche;

CONSIDERATO che, in attuazione dell’articolo 21, comma 4-quinquies, del suddetto Decreto-Legge n. 75/2023, il MIM ha adottato il Decreto ministeriale 10 ottobre 2023, n. 192, avente a oggetto “la disciplina sul trattamento dei dati personali effettuato dal Ministero dell’Istruzione e del Merito e dalle Istituzioni Scolastiche nell’ambito della Piattaforma” e per il tramite del quale sono stati attivati specifici servizi digitali quali, in particolare, E-Portfolio, Docente Tutor e Gite Scolastiche, su cui il Garante ha reso il parere con provv. n. 468 del 10 ottobre 2023 (disponibile sul sito istituzionale www.gpdp.it, doc. web n. 9953443);

VISTO in particolare, l’articolo 11, comma 4, del Decreto Ministeriale n. 192/23, secondo cui «Con appositi decreti ministeriali di natura non regolamentare, il MIM, sentito il Garante per la protezione dei dati personali, provvederà, come previsto all’articolo 5, comma 6, del presente Decreto, a integrare e implementare nella Piattaforma: (i) i Servizi Digitali già erogati dal Ministero e dalle Istituzioni Scolastiche con applicativi diversi dalla Piattaforma medesima; (ii) i Servizi Digitali di nuova introduzione»;

VISTO altresì, il Decreto Ministeriale del 18 giugno 2024, n. 124, concernente la disciplina sul trattamento dei dati personali effettuato dal MIM e dalle Istituzioni Scolastiche nell’ambito dell’abilitazione di nuove utenze ai fini dell’accesso all’area privata della Piattaforma e del servizio digitale «Knowledge Area», su cui il Garante ha reso il parere con provv. n. 334 del 6 giugno 2024 (doc. web n. 10036855);

VISTA la nota del 28 luglio 2025 con cui il Ministero dell’Istruzione e del Merito ha trasmesso all’Autorità, ai fini dell’acquisizione del parere di competenza, lo schema di decreto ministeriale, adottato ai sensi dell’articolo 11, comma 4, del Decreto Ministeriale 10 ottobre 2023, n. 192, concernente “l’implementazione di un servizio digitale in materia di Intelligenza Artificiale nell’ambito della Piattaforma Unica di cui all’articolo 21, commi 4-ter e seguenti, del decreto-legge del 22 giugno 2023, n. 75, convertito, con modificazioni, dalla legge del 10 agosto 2023, n. 112” a cui sono allegate le “Linee guida per l’introduzione dell’Intelligenza Artificiale nelle Istituzioni scolastiche” (di seguito, Linee guida);

RILEVATO che il suddetto schema di decreto stabilisce, in particolare:

- che nell’ambito della Piattaforma Unica è implementato un Servizio Digitale mediante il quale, il Ministero, nell’ambito delle proprie funzioni di indirizzo e governo generale del sistema nazionale di istruzione e formazione, rende disponibili specifici contenuti e documenti informativi sull’IA, tra i quali apposite Linee Guida in materia di Intelligenza Artificiale, nonché una mappa delle sperimentazioni avviate dalle singole Istituzioni Scolastiche in materia, al fine di supportare le stesse nei possibili impieghi dell’IA e favorire l’acquisizione, da parte di studenti, studentesse e genitori/esercenti la responsabilità genitoriale, delle necessarie conoscenze digitali, al fine di poter godere dei benefici offerti dall’IA  e orientare le nuove generazioni verso un uso attento e consapevole delle nuove tecnologie (articolo 1);

- le modalità di accesso al Servizio Digitale (articoli 2 e 3);

- le Sezioni di cui si compone il Servizio Digitale e le relative funzionalità (articoli 4, 5, 6);

- i soggetti coinvolti nel trattamento dei dati personali e il ruolo svolto, prevedendo che il MIM è titolare del trattamento dei dati personali degli Utenti trattati nell’ambito della procedura di identificazione e autenticazione informatica nell’area privata della Piattaforma, restando ferma la responsabilità delle Istituzioni Scolastiche in merito alle informazioni di propria competenza che sono inserite nell’ambito della Sezione «Progetti IA», nonché la responsabilità per la loro esattezza, correttezza e aggiornamento (articolo 7);

- il MIM promuove un uso etico e trasparente dell’IA, garantendo il rispetto dei principi in materia di IA indicati all’interno degli «Orientamenti etici per un’IA affidabile» dell’8 aprile 2019 e richiamati dal Regolamento (UE) 2024/1689 citato. In ogni caso, sono oggetto di trattamento i soli dati personali comuni degli Utenti, acquisiti in fase di autenticazione all’area privata della Piattaforma e indicati all’interno dell’Allegato Tecnico al D.M. n. 192/2023 (articolo 8);

- il rispetto dei principi in materia di protezione dei dati personali e misure di sicurezza (articolo 9);

- con appositi decreti ministeriali di natura non regolamentare, il MIM provvederà a disciplinare nel dettaglio le modalità con le quali le Istituzioni Scolastiche dovranno progettare e realizzare le singole iniziative di IA, in conformità alla disciplina in materia di protezione dei dati personali e di IA, le iniziative di formazione che saranno attivate a favore delle Istituzioni Scolastiche in materia di IA, al fine di garantire un uso consapevole e responsabile dei sistemi di IA in ambito scolastico, gli ulteriori elementi volti a garantire che l’implementazione dei sistemi di IA da parte delle Istituzioni Scolastiche avvenga nel pieno rispetto dei diritti e dei valori sanciti dalla Carta dei diritti fondamentali dell’Unione europea e l’aggiornamento delle Linee Guida adottate con il Decreto in esame, nonché i modelli documentali alle medesime allegati (articolo 10);

RILEVATO, inoltre, che le linee guida allegate allo schema di decreto in esame, prevedono, in sintesi:

- gli obiettivi che il MIM intende perseguire con l’introduzione delle tecnologie di IA in ambito scolastico affinché diventino uno strumento per rafforzare la competitività del sistema educativo, preservandone la qualità, promuovendo l’equità e invitando studenti e Istituzioni scolastiche a sfruttare le potenzialità dell’IA con la giusta consapevolezza (paragrafo 1);

- i principi a sostegno dell’introduzione dell’IA, tra cui la “centralità della persona”, la “tutela dei diritti e delle libertà fondamentali” e la “sicurezza dei sistemi e modelli di IA” (paragrafo 2);

- i requisiti etici, tecnici e normativi necessari per assicurare un’adozione responsabile e sicura delle tecnologie di IA (paragrafo 3);

- le istruzioni operative e gli strumenti di accompagnamento per introdurre l’IA negli Istituti scolastici (paragrafo 4);

CONSIDERATO, in primo luogo, che i trattamenti di dati personali per compiti di interesse pubblico devono essere effettuati esclusivamente nel perseguimento delle finalità istituzionali dei rispettivi titolari del trattamento nel quadro della normativa di settore applicabile, che ne costituisce la base giuridica definendo presupposti, condizioni, modalità, limiti e misure a tutela dei diritti e delle libertà fondamentali delle persone, anche tenuto conto della natura dei dati trattati, del contesto, degli specifici strumenti che si intende utilizzare nonché dei rischi per gli interessati, nel rispetto dei principi generali di protezione dei dati personali e, in particolare, di quelli di liceità, correttezza e trasparenza e di limitazione della finalità (cfr. art. 5, par. 1, lett. a) e b), e art. 6, parr. 1, lett. e), e 3 del Regolamento, nonché art. 2-ter del Codice; inoltre, laddove il trattamento abbia a oggetto categorie particolari di dati personali o dati personali relativi a condanne penali o reati, cfr. artt. 9 e 10 del Regolamento e artt. 2-sexies e 2-octies del Codice);

CONSIDERATO, inoltre, che, laddove tale trattamento comporti l’utilizzo di sistemi di IA, come pure prefigurato, occorre che siano altresì assicurati una piena trasparenza nei confronti degli interessati nonché il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona (cfr. spec. art. 5, par. 1, lett. a), e artt. 12, 13, 14 e 22 del Regolamento);

CONSIDERATO, in ogni caso, che la versione dello schema di decreto in esame, con particolare riferimento ai principi di privacy by design e by default (art. 25 del Regolamento), tiene conto anche delle osservazioni fornite dall’Ufficio nel corso delle interlocuzioni informali intercorse, che hanno riguardato, in particolare:

- la rigorosa osservanza dei divieti concernenti le pratiche vietate di cui all’art. 5 del Regolamento sull’IA (come quelle preordinate al riconoscimento delle emozioni, c.d. strumenti di sentiment analysis, con particolare riferimento al contesto scolastico o lavorativo: cfr. spec. le Commission Guidelines on prohibited artificial intelligence practices established by Regulation (EU) 2024/1689 (AI Act) del 4 febbraio 2025);

- il rispetto delle misure previste dal Regolamento sull’IA in relazione all’impiego di sistemi di IA ad alto rischio, con particolare riferimento a quelli, richiamati dall’art. 6, par. 2, indicati nell’Allegato III al n. 3;

- le garanzie di trasparenza che gli Istituti medesimi sono tenuti ad assicurare nei confronti degli interessati, anche nel rispetto di quanto previsto dalla disciplina di settore in materia di IA;

- la definizione di ruoli e responsabilità dei soggetti istituzionali coinvolti nella gestione dei sistemi di IA, anche in qualità di titolari del trattamento ai fini della contestuale applicazione della disciplina di protezione dei dati personali, con particolare riferimento al rispetto del principio di liceità, correttezza e trasparenza (art. 5, par. 1, lett. a), del Regolamento);

- la previsione di utilizzare solamente laddove strettamente indispensabili, i dati personali riferibili a studenti e docenti ricorrendo ove possibile all’utilizzo di dati sintetici, prevedendo l’impiego di configurazioni che impediscano la conservazione dei prompt, la profilazione o il tracciamento degli studenti, nel rispetto del principio di minimizzazione dei dati (art. 5, par. 1, lett. c), del Regolamento);

- la necessità di assicurare la trasparenza dei trattamenti di dati personali effettuati da parte degli Istituti scolastici mediante sistemi di IA, con particolare riguardo all'impatto sui diritti e sulle libertà fondamentali degli interessati, nel rispetto del principio di liceità, correttezza e trasparenza (art. 5, par. 1, lett. a), del Regolamento);

- la necessità di prevedere attività formativa adeguata, audit o valutazioni periodiche volti a verificare l’affidabilità, la trasparenza e la correttezza del funzionamento dei sistemi utilizzati, nonché di valutare l’adozione di misure tecniche e organizzative adeguate al contesto senza contemplare aprioristicamente un elenco predefinito e limitato di misure, nel rispetto del principio di integrità e riservatezza (art. 5, par. 1, lett. f), del Regolamento);

RITENUTO, alla luce di quanto osservato, di poter esprimere parere favorevole sullo schema di decreto in esame, che reca in allegato le “Linee guida per l’introduzione dell’Intelligenza Artificiale nelle Istituzioni scolastiche”;

RITENUTO, inoltre, che spetta ai soggetti che svolgono attività di trattamento dei dati personali, nel rispetto della cornice di liceità sopra richiamata, adottare le misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi per gli interessati nel delicato contesto scolastico ed educativo, a valle della valutazione d’impatto svolta anche alla luce delle valutazioni formulate dai soggetti a vario titolo coinvolti (art. 35 del Regolamento), in ossequio al principio di accountability (artt. 5, par. 2, e 24 del Regolamento);

RITENUTO, infine, che, impregiudicati gli specifici requisiti e garanzie che derivano dall’applicazione del quadro normativo in materia di IA, quando l’utilizzo di sistemi di IA comporta il trattamento di dati personali, occorre garantire, anche alla luce della previsione contenuta nell’art. 2, par. 7 del Regolamento UE 2024/1689, il contestuale rispetto della disciplina in materia di protezione dei dati personali e l’applicazione delle garanzie ivi previste a tutela dei diritti e delle libertà fondamentali delle persone, la cui osservanza è assicurata dal Garante per la protezione dei dati personali nell’esercizio dei compiti e poteri attribuitigli dal Regolamento;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 36, par. 4, e 58, par. 3, lett. b), del Regolamento, esprime parere favorevole sullo schema di decreto ministeriale del Ministero dell’istruzione e del Merito, adottato ai sensi dell’articolo 11, comma 4, del Decreto Ministeriale 10 ottobre 2023, n. 192, concernente “l’implementazione di un servizio digitale in materia di Intelligenza Artificiale nell’ambito della Piattaforma Unica di cui all’articolo 21, commi 4-ter e seguenti, del decreto-legge del 22 giugno 2023, n. 75, convertito, con modificazioni, dalla legge del 10 agosto 2023, n. 112” e le “Linee guida per l’introduzione dell’Intelligenza Artificiale nelle Istituzioni scolastiche” allegate.

Roma, 4 agosto 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE 
Fanizza

10/07/2025 n° 387
Area: Prassi, Circolari, Note

[doc. web n. 10167956]

Provvedimento del 10 luglio 2025

Registro dei provvedimenti
n. 387 del 10 luglio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, segretario generale reggente;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27/4/2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30/6/2003, n. 196 recante “Codice in materia di protezione dei dati personali” (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Introduzione

Questa Autorità ha aperto un’istruttoria nei confronti del Comune di Langhirano a seguito di una segnalazione in ordine a una violazione della normativa in materia di protezione dei dati personali derivante dalla diffusione di dati personali sul sito web istituzionale del predetto Comune. 

Nello specifico, dalla verifica preliminare effettuata dall’Ufficio, è emerso che sul sito istituzionale del Comune di Langhirano, nella sezione «Amministrazione trasparente», nell’area «Altri contenuti»/«Accesso civico», era possibile accedere a una pagina web (https://...) in cui erano presenti i seguenti file intitolati:

1.  «Esito accesso atti XX - XX», contenente il registro delle richieste accesso agli atti riferite a 148 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https://...);

2. «Accessi anno XX», contenente il registro delle richieste accesso agli atti riferite a 258 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https://...);

3. «Accessi anno XX», contenente il registro delle richieste accesso agli atti riferite a 359 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https:...);

4. «Accessi anno XX», contenente il registro delle richieste accesso agli atti riferite a 213 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https://...);

5. «Accessi anno XX», contenente il registro delle richieste accesso agli atti riferite a 216 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https://...);

6. «Accessi anno XX», contenente il registro delle richieste accesso agli atti riferite a 194 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https://...);

7. «Accessi anno XX», contenente il registro delle richieste accesso agli atti riferite a 67 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https://...).

I citati documenti contenevano nel campo oggetto e mittente dati e informazioni personali, con specifica indicazione del nominativo del soggetto che ha effettuato la richiesta di accesso e della descrizione di quanto domandato con indicazione in molti casi dei dati personali dei soggetti cui si riferiscono gli atti richiesti. Solo per fare alcuni esempi, al riguardo, è emerso che nel campo oggetto era riportato: «richiesta diritto di accesso ai documenti relativi all’immobile posto XX di proprietà XX»; «accesso pratiche edilizie: XX e nominativo dell’intestatario della pratica XX»; ecc.). 

2. La normativa in materia di protezione dei dati personali

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

I soggetti pubblici, come il Comune, possono diffondere «dati personali» nel rispetto della disciplina in materia di protezione dei dati personali (art. 2-ter, commi 1 e 3, del Codice) e – in ogni caso – del principio di «minimizzazione», in base al quale i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD). 

Quanto al registro degli accessi, l’Autorità Nazionale Anticorruzione (ANAC) – nelle proprie Linee guida adottate d’intesa con il Garante – ha indicato la possibilità che venga istituito il predetto registro presso gli enti, specificando al contempo che il «registro contiene l’elenco delle richieste con l’oggetto e la data e il relativo esito con la data della decisione ed è pubblicato, oscurando i dati personali eventualmente presenti, e tenuto aggiornato almeno ogni sei mesi nella sezione Amministrazione trasparente, “altri contenuti – accesso civico” del sito web istituzionale» (par. 9, Determinazione n. 1309 del 28/12/2016 recante le «Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art. 5 co. 2 del d.lgs. 33/2013», in G.U. n. 7 del 10/1/2017 e in https://www.anticorruzione.it/-/determinazione-n.-1309-del-28/12/2016-rif.-1. Del medesimo tenore anche il par. 8.2.b. della Circolare del Ministro per la pubblica amministrazione n. 1 del 2019, recante «Attuazione delle norme sull’accesso civico generalizzato (c.d. FOIA)», in http://www.funzionepubblica.gov.it/sites/funzionepubblica.gov.it/files/Circolare_FOIA_n_1_2019.pdf).

Peraltro, occorre tenere in considerazione che la stessa disciplina statale in materia di trasparenza prevede espressamente che «Le pubbliche amministrazioni possono disporre la pubblicazione nel proprio sito istituzionale di dati, informazioni e documenti che non hanno l’obbligo di pubblicare ai sensi del presente decreto o sulla base di specifica previsione di legge o regolamento, nel rispetto dei limiti indicati dall’articolo 5-bis, procedendo alla indicazione in forma anonima dei dati personali eventualmente presenti» (art. 7-bis, comma 3, del d. lgs. n. 33 del 14/3/2013).

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

Dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che il Comune di Langhirano – diffondendo i dati e le informazioni personali prima descritti inseriti nei registri degli accessi pubblicati online – ha tenuto una condotta non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate al predetto Comune le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando l’amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentita da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981). 

4. Memorie difensive.

Il Comune di Langhirano, con la nota prot. n. XX del XX, ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Nello specifico, quanto alla condotta tenuta, l’amministrazione ha evidenziato, fra l’altro che:

- «Lo schema del registro accessi è stato predisposto nel XX dall’Amministrazione Comunale in ottemperanza agli adempimenti normativi in materia. L’ente pertanto si considera in perfetta buona fede ritenendo che detta predisposizione rappresentasse un congruo bilanciamento di interessi tra esigenze di pubblicità e riservatezza»

- «Si evidenzia pertanto che la pubblicazione del dato sia esclusivamente frutto di un’interpretazione ampia del principio di trasparenza anche il relazione al dibattito politico-culturale sul tema di quegli anni»;

- «Si evidenzia inoltre che non sono comunque in generale presenti dati ulteriori quali codice fiscale, indirizzo di residenza, numero civico, luogo, data di nascita o comunque elementi che possano identificare la persona fisica in maniera certa ed incontrovertibile»;

- «i dati pubblicati nella sezione di amministrazione trasparente afferenti il registro degli accessi, sono stati immediatamente rimossi dal gestionale in attesa degli sviluppi del caso»;

- non «sono mai pervenute segnalazioni, reclami o doglianze in generale» e non «risulta che da parte degli interessati siano mai state esercitate azioni volte alla tutela dei loro diritti […]»;

- «tutti i dati sono da ritenersi comuni eccezion fatta per un solo accesso afferente l’anno XX protocollo n.XX nel quale sono presenti categorie particolari di dati anche se, stante la casella “oggetto” e “mittente” si può addivenire solo in via indiretta a desumere una condizione relativa allo stato di salute di un soggetto. Cionondimeno per tutti i dati inseriti nelle tabelle non sono comunque presenti dati ulteriori come codice fiscale, indirizzo di residenza, numero civico, luogo e data di nascita. Non c’è altresì in generale coincidenza tra mittente ed oggetto e la mera indicazione di nome e cognome, non pare di per sé sufficiente ad identificare in maniera univoca il soggetto».

5. Valutazioni del Garante

La questione oggetto del caso sottoposto all’attenzione del Garante riguarda la diffusione di dati e informazioni personali, contenuti nei registri delle richieste accesso agli atti (anni XX) pubblicati online (di cui ai file identificati supra ai nn. 1-7 del par. 1).

I citati documenti contenevano nel campo oggetto e mittente dati e informazioni personali di centinaia di istanze con specifica indicazione di: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito. In particolare, è stata lasciato in chiaro il nominativo del soggetto che ha effettuato la richiesta di accesso e la descrizione di quanto domandato con indicazione in molti casi dei dati personali dei soggetti cui si riferiscono gli atti richiesti (es: «richiesta diritto di accesso ai documenti relativi all’immobile posto in XX di proprietà XX»; «accesso pratiche edilizie: XX e nominativo dell’intestatario della pratica XX»; ecc.). 

Al riguardo, occorre evidenziare in via preliminare che la pubblicazione online nella sezione “Amministrazione trasparente” del sito web istituzionale (con conseguente indicizzazione nei motori di ricerca generalisti come Google) della circostanza di avere effettuato una richiesta di accesso presso un ente pubblico oppure quella riguardante il fatto che un soggetto abbia richiesto dati e informazioni riguardanti un terzo comporta la conoscenza generalizzata (tramite la diffusione) di informazioni di natura personale, che i soggetti interessati, per i motivi più vari, potrebbero non volere portare a conoscenza di soggetti estranei alla propria sfera personale e familiare, determinando una un’interferenza ingiustificata e sproporzionata nei relativi diritti e libertà. 

Nell’ambito dell’istruttoria aperta al riguardo da questa Autorità, il Comune ha confermato, nelle proprie memorie difensive, l’avvenuta diffusione online dei dati personali descritti in assenza di una idonea base giuridica, riconducendo la propria condotta a «un’interpretazione ampia del principio di trasparenza anche il relazione al dibattito politico-culturale sul tema […]». 

La ricostruzione offerta dall’ente chiarisce alcuni punti della questione ed è sicuramente utile ai fini della valutazione della condotta, ma non appare idonea a superare i rilievi critici mossi dall’Ufficio. 

Si ricorda infatti che – per il rispetto del principio di trasparenza amministrativa delle pp.aa. di cui all’art. 1, comma 1, del d. lgs. n. 33/2013 – nessuna norma di settore prevede un obbligo di pubblicazione dei dati personali di coloro che hanno effettuato accessi ad atti e documenti oppure dei soggetti cui si riferiscono gli atti richiesti. A ciò si aggiunge che l’istituzione presso ogni amministrazione del registro delle richieste di accesso, oltre a essere solo raccomandato nelle Linee guida di ANAC e nella Circolare del Ministro per la pubblica amministrazione prima citate (cfr. supra par. 2), non implica come necessaria e proporzionata anche l’operazione di diffusione online dei dati personali/nominativi di coloro che hanno effettuato le richieste di accesso e dei soggetti a cui i documenti si riferiscono. Nelle citate Linee guida di ANAC è, infatti, specificamente riportato che è sufficiente inserire «l’elenco delle richieste con l’oggetto e la data e il relativo esito con la data della decisione», avendo cura – in sede di pubblicazione – di «oscura[re] i dati personali eventualmente presenti». Molto chiara, in tal senso, è anche la Circolare del Ministro per la pubblica amministrazione, laddove – sempre con riferimento alla compilazione del registro degli accessi – è analogamente raccomandato che «ciascuna amministrazione indicherà gli estremi delle richieste ricevute e il relativo esito, omettendo la pubblicazione di dati personali eventualmente presenti» (par. 8.2.b).

L’ampia interpretazione del principio di trasparenza sostenuta dal Comune non può quindi giustificare la diffusione di dati personali online, in quanto non soddisfa nessuno dei presupposti di liceità previsti dall’art. 2-ter del Codice. La condotta posta in essere risulta peraltro in contrasto con quanto previsto dall’art. 7-bis, comma 3, del d. lgs. n. 33/2013, che prevede effettivamente la possibilità che le pp.aa. possano pubblicare sul sito web istituzionale dati, informazioni e documenti che non hanno l’obbligo di pubblicare sulla base di specifica previsione di legge o regolamento, ma sempre «procedendo alla indicazione in forma anonima dei dati personali eventualmente presenti». La diffusione dei dati personali descritti e oggetto di contestazione non è, inoltre, conforme alle indicazioni contenute nelle Linee guida dell’ANAC in materia e nella Circolare del Ministro per la pubblica amministrazione, che indicano chiaramente la necessità di procedere all’oscuramento dei dati personali presenti nel Registro degli accessi, fra cui sono compresi anche i nominativi dei soggetti istanti e di coloro cui si riferiscono i documenti richiesti. 

Analogamente, non può essere accolta l’eccezione sollevata dal Comune secondo la quale non vi sarebbe stata una violazione della disciplina in materia di protezione dei dati personali, in quanto – tenendo conto della circostanza che non sono stati diffusi accanto al nominativo dei soggetti interessati anche «dati ulteriori quali codice fiscale, indirizzo di residenza, numero civico, luogo, data di nascita» – non sarebbero stati diffusi «elementi che possano identificare la persona fisica in maniera certa ed incontrovertibile». Tale tesi è in contrasto con la disciplina europea in materia secondo la quale «dato personale» è, come detto, qualsiasi informazione riguardante una persona fisica identificata o identificabile e si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come, fra l’altro, proprio il «nome» (art. 4, par. 1, n. 1, del RGPD). Nel caso in esame, dall’istruttoria è emerso che il Comune ha pubblicato online proprio i nomi e cognomi dei soggetti interessati (soggetti che hanno effettuato l’accesso e talvolta anche soggetti a cui i documenti si riferiscono) contenuti nei registri degli accessi, ossia dati che identificano direttamente persone fisiche e rientrano, pertanto, sicuramente nella ricordata definizione di «dato personale» (indipendentemente dalla circostanza che siano accompagnati da ulteriori informazioni come codice fiscale, indirizzo di residenza, luogo e data di nascita).

Per altro verso, si rileva che, per stessa ammissione del Comune in almeno un procedimento i dati personali diffusi erano idonei a rivelare indirettamente anche la condizione di salute del soggetto interessato (art. 9 del RGPD), come nel caso della richiesta di accesso anno XX protocollo n. XX, avente a oggetto lo «stato pratica devoluzione contributo per rimozione barriere architettoniche - domanda presentata dalla sig.ra XX», con la conseguente violazione anche del divieto di diffusione di dati relativi alla salute previsto dall’art. 2-septies, comma 8, del Codice.

6. Esito dell’istruttoria relativa al reclamo presentato

Le circostanze evidenziate negli scritti difensivi del Comune, esaminate nel loro complesso, anche se sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non risultano sufficienti a consentire l’archiviazione del presente procedimento. Ciò in quanto, nel caso in esame, non ricorre alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019. 

In tale quadro, si confermano le valutazioni preliminari dell’Ufficio con la nota prot. n. XX del XX e si rileva – conformemente ai precedenti di questa Autorità in materia (provv. n. XX del XX, in www.gpdp.it, doc. web n. 9784482; n. 281 del 22/7/2021, ivi, doc. web n. 9696645) – che il trattamento di dati personali effettuato dal Comune di Langhirano non è conforme alla disciplina rilevante in materia di protezione dei dati personali, in quanto la diffusione dei dati personali prima descritti contenuti nei registri delle richieste accesso agli atti (anni XX) pubblicati online (di cui ai file identificati supra ai nn. 1-7 del par. 1) è avvenuta in violazione:

1)  delle disposizioni contenute dell’art. 2-ter, commi 1 e 3, del Codice; dell’art. 7-bis, comma 3, del d. lgs. n. 33/2013; dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD; nonché delle indicazioni contenute al riguardo nelle Linee guida dell’ANAC e nella Circolare del Ministro per la pubblica amministrazione (sopra richiamate al par. 2);

2) del principio di «minimizzazione» dei dati, che non sono risultati «limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (ossia la trasparenza amministrativa), previsto dall’art. 5, par. 1, lett. c), del RGPD;

3) del divieto di diffusione dei dati sulla salute dei soggetti interessati, previsto dall’art. 2-septies, comma 8, del Codice (cfr. anche l’art. 9, parr. 1, 2 e 4, del RGPD).

Considerato, tuttavia, che la condotta ha esaurito i suoi effetti, in quanto il titolare del trattamento ha dichiarato di aver provveduto a rimuovere i dati personali oggetto di contestazione dell’Ufficio dal sito web istituzionale, fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.

7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 del RGPD) 

Il Comune di Langhirano risulta aver violato gli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b); 9, parr. 1, 2 e 4 del RGPD nonché gli artt. 2-ter, commi 1 e 3; 2-septies, comma 8, del Codice (cfr. anche artt. 7-bis, comma 3, del d. lgs. n. 33/2013).

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave». 

Nel caso di specie, la violazione delle disposizioni citate – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso in esame. 

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In tal senso, quanto all’illecita diffusione online di dati personali si tiene conto del fatto che la stessa ha avuto a oggetto la diffusione online di dati personali in un caso anche idonei a rivelare lo stato di salute (art. 9 del RGPD), riferiti a diverse centinaia di persone (soggetti che hanno effettuato l’accesso e talvolta anche soggetti a cui i documenti si riferiscono, contenuti nei registri nei registri degli accessi anni XX) mantenuti sul sito web istituzionale almeno fino data dell’invio delle memorie difensive del Comune (aprile XX). Tale condotta deriva in ogni caso – secondo quanto dichiarato dal Comune – da un’ampia interpretazione del principio di trasparenza e risulta quindi essere di natura evidentemente colposa. 

Si ritiene pertanto che, nel caso di specie, il livello di gravità della condotta tenuta dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23/5/2023, punto 60).

Ciò premesso, oltre a tener conto della circostanza che il Comune di Langhirano è un ente di medie dimensioni (con poco più di 10.000 abitanti), si prendono in considerazione anche le seguenti circostanze attenuanti:

- il titolare del trattamento, a seguito della richiesta dell’Ufficio è intervenuto tempestivamente, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alle violazioni, attenuandone i possibili effetti negativi, dichiarando, a tal fine, che la condotta è cessata avendo provveduto a rimuovere i dati dal sito web istituzionale;

- il titolare del trattamento ha dichiarato di non aver in ogni caso ricevuto segnalazioni, reclami o richieste di esercizio dei diritti da parte dei soggetti interessati;

- non risultano precedenti violazioni del RGPD pertinenti commesse dall’ente.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniarie, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 12.000,00 (dodicimila) per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b); 9, parr. 1, 2 e 4; del RGPD; nonché gli artt. 2-ter, commi 1 e 3; 2-septies, comma 8, del Codice (cfr. anche artt. 7-bis, comma 3, del d. lgs. n. 33/2013), quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

In relazione alle specifiche circostanze del presente caso, riguardanti la diffusione di dati personali online, anche relativi alla salute, in assenza di una idonea base normativa (art. 2-ter, commi 1 e 3, del Codice), si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato dal Comune di Langhirano nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. i), e 83 del RGPD, e dell’art. 144 del Codice, per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b); 9, parr. 1, 2 e 4; del RGPD, nonché degli artt. 2-ter, commi 1 e 3; 2-septies, comma 8, del Codice;

ORDINA 

al Comune di Langhirano, in persona del legale rappresentante pro-tempore, con sede legale in P.zza Giacomo Ferrari, 1 - 43013 Langhirano (PR) – C.F. 00183800341 di pagare la somma di € 12.000,00 (dodicimila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione; 

INGIUNGE

al medesimo Comune di pagare la somma di euro € 12.000,00 (dodicimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019; 

- l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate ai sensi dell’art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 10 luglio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE REGGENTE
Filippi

23/10/2025 n° 1
Area: Prassi, Circolari, Note

Autorità Garante nazionale dei diritti delle persone con disabilità

OGGETTO: accesso alla classe da parte di professionisti sanitari - raccomandazione ai sensi dell’art. 4, comma1 lett. g) del d. lgs.n.20/2024.

Il decreto legislativo 5 febbraio 2024, n. 20 ha istituito, in attuazione della delega contenuta nella legge n. 227/21, l’Autorità «Garante nazionale dei diritti delle persone con disabilità», con
l’obiettivo di assicurare la piena attuazione e la tutela dei diritti e degli interessi delle persone con disabilità, con l’attribuzione di una serie complessa di attività e prerogative nell’ambito
dell’esercizio di vigilanza sul rispetto dei diritti e sulla conformità ai principi stabiliti dai trattati internazionali e dalle disposizioni di carattere europeo e nazionale, di contrasto a qualsivoglia
fenomeno discriminatorio e di promozione dell’effettivo godimento di diritti e libertà fondamentali delle persone con disabilità.
Ciò premesso, si rappresenta che è pervenuta alla scrivente Autorità una segnalazione da parte della madre di un alunno, con disturbo dello spettro autistico, con disabilità grave ai sensi
dell’art. 3, comma 3, della L. 104/92, iscritto alla classe III di primo grado di un Istituto Comprensivo con sede in Roma.
La segnalante ha denunciato l’impossibilità, per l’anno scolastico in corso, di garantire la continuità terapeutica al proprio figlio in orario scolastico. In particolare, nel corso del mese di
settembre, il medico della ASL non ha potuto prestare la propria attività specialistica nelle due giornate tempestivamente comunicate all’istituzione scolastica, come da piano terapeutico
obbligatorio.
Detta interruzione -sino ad oggi- del progetto terapeutico, finanziato con oneri a carico del Sistema Sanitario Nazionale, discenderebbe dalla mancata “autorizzazione” all’accesso del medico
da parte di tutti i genitori degli alunni della classe.
Al proposito, questa Autorità Garante ha accertato che la vicenda di cui alla segnalazione non costituirebbe un caso isolato; ed invero, in diverse istituzioni scolastiche accade che, come nella
fattispecie segnalata, i dirigenti scolastici procedano secondo il seguente iter nell’ipotesi di accesso alla classe da parte di esperti esterni:
- ricevuta la comunicazione delle date di ingresso da parte dell’esperto, viene consegnato ai genitori di tutti gli alunni della classe interessata il “modulo di consenso informato per l’accesso di
esperti esterni in classe”, nel quale i genitori sono tenuti a rilasciare una serie di dichiarazioni.
In particolare, i genitori devono dichiarare:
- “di essere stati informati dall’insegnante di sezione/classe in merito alla presenza di un esperto esterno impegnato nell’osservazione di un alunno presente nella classe/sezione” e di essere
“d’accordo con tale attività”;
- “di essere stati informati che il/la terapista/specialista sanitario si adeguerà al rispetto della Tutela della riservatezza della privacy, ai sensi della normativa vigente GDPR, non
diffondendo alcuna informazione relativa alle attività degli alunni presenti nella sezione/classe”.
Da ultimo, i genitori sono tenuti a dichiarare che “esprimono il proprio consenso con la sottoscrizione della presente dichiarazione”.
Nel caso, oggetto della segnalazione, il Regolamento d’istituto prevede che l’accesso ai suddetti soggetti esterni sia consentito previa “autorizzazione” del Dirigente Scolastico e, in
chiusura, riconosce che “per tutto quanto non previsto nel presente Regolamento si fa riferimento alla vigente normativa”.
Altri regolamenti d’istituto richiedono, oltre al consenso da parte di tutti i genitori, anche la dichiarazione sostitutiva del certificato generale del casellario giudiziale e dei carichi pendenti da
parte del terapista e dello specialista sanitario. Richiesta, quest’ultima, che risulta del tutto priva di giustificazione in considerazione del rapporto organico/lavorativo del soggetto “esterno” con il
Sistema Sanitario Nazionale ovvero con un soggetto accreditato e autorizzato, che -a sua volta-deve aver già verificato che il proprio dipendente/collaboratore possieda tutti i requisiti di
professionalità. Tale prassi integra, peraltro, un immotivato aggravamento degli adempimenti in capo al personale specializzato, tenuto a svolgere l’incarico affidatogli.
Ciò premesso, si evidenzia che la richiesta del consenso da parte di tutti i genitori all’accesso di esperti esterni (nel caso oggetto di segnalazione, peraltro, finalizzata alla corretta e
completa attuazione di un progetto terapeutico), a favore di alunni con disabilità si pone in contrasto con i principi, anche sovranazionali, che sanciscono l’obbligo da parte degli ordinamenti nazionali e
di tutti i soggetti interessati, in particolare istituzionali, di “assicurare la tutela, la concreta attuazione e la promozione dei diritti delle persone con disabilità in conformità a quanto previsto
dal diritto internazionale, dal diritto dell’Unione Europea e dalle norme nazionali”.
Il Garante, infatti, attraverso l’esercizio delle funzioni e delle prerogative riconosciute allo scrivente dal D. Lgs. 20/2024, ha il compito di vigilare sul rispetto dei diritti e sulla conformità ai
principi stabiliti dalla Convenzione delle Nazioni Unite sui diritti delle persone con disabilità, fatta a New York il 13 dicembre 2006 e ratificata e resa esecutiva con legge 18/2009, e dagli altri trattati internazionali, dalla Costituzione, dalle leggi dello Stato e dai regolamenti in materia di diritti delle
persone con disabilità.
Per assicurare il pieno rispetto di tali principi, è necessario che gli ordinamenti nazionali garantiscano l’incondizionato ed effettivo godimento dei diritti e delle libertà fondamentali delle
persone con disabilità, al pari degli altri cittadini, come il diritto allo studio e, contestualmente, il diritto alla salute degli alunni con disabilità, prevalenti anche rispetto ad altri interessi.
Come sottolineato dal Ministero dell’Istruzione e del Merito (https://www.istruzione.it/archivio/web/istruzione/famiglie/alunni_disabili.html), “il diritto allo
studio degli alunni con disabilità si realizza, secondo la normativa vigente, attraverso l’integrazione scolastica, che prevede l’obbligo dello Stato di predisporre adeguate misure di
sostegno, alle quali concorrono a livello territoriale, con proprie competenze, anche gli Enti Locali e il Servizio Sanitario Nazionale. La comunità scolastica e i servizi locali hanno pertanto il compito
di “prendere in carico” e di occuparsi della cura educativa e della crescita complessiva della persona con disabilità, fin dai primi anni di vita. Tale impegno collettivo ha una meta ben precisa:
predisporre le condizioni per la piena partecipazione della persona con disabilità alla vita sociale, eliminando tutti i possibili ostacoli e le barriere, fisiche e culturali, che possono frapporsi fra la
partecipazione sociale e la vita concreta delle persone con disabilità”.
In applicazione della legge 104/92 e delle “Linee guida per l’integrazione degli alunni con disabilità”, diramate con nota del 4 agosto 2009, le Istituzioni devono riconoscere la tutela, la
partecipazione alla vita sociale delle persone con disabilità, in particolare nei luoghi per essa fondamentali, come la scuola, durante l’infanzia e l’adolescenza.
Il Piano Educativo Individualizzato, stilato in ambito scolastico, deve tener conto inevitabilmente del piano terapeutico che concorre a determinare il percorso formativo dell’alunno
con disabilità nel suo complesso, assicurando un intervento adeguato allo sviluppo delle potenzialità ed alla gestione e superamento di problematiche connesse con la specifica disabilità.
In tale contesto, per “professionisti sanitari esterni” si intendono i soggetti iscritti ai rispettivi ordini professionali e incaricati dalla ASL competente, dagli enti/strutture accreditate e/o
autorizzate ai sensi della normativa vigente, ovvero facenti parte dell’équipe multidisciplinare contemplata nel piano terapeutico, nel progetto riabilitativo, assistenziale o nel progetto di vita
dell’alunno con disabilità.
La circostanza dell’accesso dello specialista per l’attuazione del piano terapeutico individuale è del tutto peculiare proprio in considerazione della necessità della presenza esterna
esclusivamente per l’alunno interessato, non richiedendo interazioni con il resto della classe e dovendo garantire la continuità terapeutica anche in contesto scolastico con i professionisti
incaricati. L’accesso dei suddetti soggetti esterni non viola alcuna norma relativa alla tutela della riservatezza degli (altri) studenti, anche minorenni, in quanto i piani terapeutici non prevedono che
gli specialisti (terapisti e operatori sanitari) interagiscano direttamente con gli (altri) alunni e -in ogni caso- sono tenuti a restare in classe sempre in contemporanea con il docente di riferimento.
Ciò premesso, ai sensi di quanto stabilito dal d.lgs. 5 febbraio 2024 n. 20 ed in particolare dall’art. 4, lett. a), b), c), g), l’Autorità Garante formula agli Uffici Scolastici Regionali la seguente
raccomandazione:
- nelle ipotesi di accesso di professionisti sanitari esterni incaricati (dipendenti della ASL, di ente/struttura accreditata e/o autorizzata presso il SSN/SSR, ovvero iscritti ai rispettivi albi
professionali e coinvolti nel piano terapeutico, riabilitativo, assistenziale o nel progetto di vita dell’alunno con disabilità), necessari per l’attuazione del progetto personalizzato in favore di alunni
e studenti con disabilità, deve essere rilasciata esclusivamente l’autorizzazione del Dirigente Scolastico, previa comunicazione del predetto accesso ai docenti e ai genitori degli altri alunni della
classe interessata e previa dichiarazione dello specialista in ordine al rispetto di tutte le disposizioni in materia di riservatezza, con l’impegno a non interagire direttamente con gli alunni non interessati
e a permanere nella classe sempre in presenza del docente.
Alla luce di quanto sopra, si sollecita la modifica di qualsivoglia regolamento d’istituto che preveda una procedura differente rispetto alla suddetta raccomandazione, ivi compresa la richiesta
del consenso dei docenti e dei genitori degli altri studenti a permettere l’ingresso in classe del professionista esterno, non potendo tale ingresso essere sottoposto, e quindi limitato, ritardato
ovvero negato, in caso di mancato consenso da parte anche di uno solo dei soggetti coinvolti.
Al fine di assicurare la tutela effettiva dei diritti costituzionalmente garantiti di tutti gli studenti interessati ed uniformità di condotta su tutto il territorio nazionale, si chiede di assicurare la
massima diffusione della presente raccomandazione presso tutte le istituzioni scolastiche, di ogni ordine e grado, pubbliche, paritarie e private.

Il Collegio
Maurizio Borgo
Francesco Vaia
Antonio Pelagatti

01/12/2025 n° 63113
Area: Prassi, Circolari, Note

Ministero dell’istruzione e del merito
Ufficio Scolastico Regionale per la Lombardia
Direzione Generale
Via E. Caviglia, 11 – 20139 Milano - Codice Ipa: m_pi

Ai Dirigenti scolastici e ai Coordinatori delle
attività educative e didattiche di scuola
secondaria di primo e secondo grado
loro e-mail istituzionali
p.c. Ai Dirigenti UU.AA.TT. USR per la Lombardia
loro e-mail istituzionali
Ai Dirigenti Uffici I, II, V, XII USR per la
Lombardia
loro e-mail istituzionali

Oggetto: D.P.R. 8 agosto 2025, n. 134 - Regolamento concernente modifiche al decreto del Presidente della Repubblica 24 giugno 1998, n. 249, recante lo Statuto delle studentesse e degli studenti della scuola secondaria (GU n.223 del 25.9.2025) – chiarimenti e indicazioni.

Si fa seguito agli incontri informativi e formativi svoltisi il 16 e il 28 ottobre u.s. e, in considerazione dei vari quesiti posti all'attenzione di questo Ufficio, si ritiene opportuno fornire chiarimenti e indicazioni circa le modalità applicative del D.P.R. 8 agosto 2025, n. 134, che ha novellato lo Statuto delle studentesse e degli studenti della scuola secondaria, entrato in vigore dal 10 ottobre 2025.
In primo luogo, si rammenta che il D.P.R. 134 del 8 agosto 2025, in attuazione della L. 150 del 1° ottobre 2024, modifica solo in parte lo Statuto di cui al D.P.R. 249/98, peraltro già modificato con D.P.R. 235 del 21 novembre 200.
In particolare:
- resta immodificata la finalità dei provvedimenti disciplinari (art. 4, c. 2 inalterato) che resta ‘‘educativa’’, dovendo tendere al ‘‘rafforzamento del senso di responsabilità’’, al ‘‘ripristino di rapporti corretti all’interno delle comunità scolastica’’, al ‘‘recupero dello studente attraverso attività di natura sociale, culturale ed in generale a vantaggio della comunità scolastica’’;
- non mutano le caratteristiche delle sanzioni (art. 4, c. 5), che restano ‘‘temporanee, proporzionate alla infrazione disciplinare e ispirate al principio di gradualità’’ e ‘‘della riparazione del danno’’, oltre che obbligate a ‘‘tener conto della situazione personale dello studente, della gravità del comportamento e delle conseguenze che da esso derivano’’;
- non cambiano le procedure e il procedimento per l’irrogazione delle sanzioni, ma è da tenere conto che il riferimento all’offerta obbligatoria di ‘‘conversione in attività a favore della comunità scolastica’’, precedentemente previsto all’articolo 4 comma 5, è ora soppresso in quanto superfluo;
- permane che le sanzioni disciplinari possano essere irrogate soltanto previa verifica della sussistenza di elementi circostanziati e precisi dai quali si desuma che l'infrazione disciplinare sia stata effettivamente commessa da parte dello studente responsabile (art. 4, c. 9-ter);
- resta invariato che le sanzioni per le mancanze disciplinari commesse durante le sessioni d'esame debbano essere irrogate dalla Commissione di esame ed applicabili anche ai candidati esterni (art. 4, c. 11)
Si richiamano, in sintesi, le principali innovazioni normative, che includono la riformulazione delle misure disciplinari per renderle maggiormente riparative, e la centralità del voto di comportamento, su cui andranno ad incidere le infrazioni disciplinari.
Le modifiche sostanziali riguardano l’articolo 4 (DISCIPLINA) del DPR n. 249/1998.

▪ SANZIONI DISPIPLINARI

Si distingue tra "allontanamento dalle lezioni" fino a 15 giorni, di competenza del Consiglio di classe e "allontanamento dalla comunità scolastica" superiore a 15 giorni, di competenza del Consiglio d'istituto (art. 4, c. 6). Nello specifico:
- per allontanamenti dalle lezioni fino a due giorni, spetta al consiglio di classe in composizione allargata deliberare, con adeguata motivazione, attività di approfondimento sulle conseguenze dei comportamenti che hanno determinato il provvedimento disciplinare. Tali attività sono svolte presso l'istituzione scolastica. Le scuole, nell'ambito della loro autonomia, individuano i docenti incaricati di realizzare le attività sopra menzionate (art. 4, c. 8-bis);
- per allontanamenti dalle lezioni da tre a quindici giorni (art. 4, c. 8-ter), il consiglio di classe in composizione allargata delibera, con adeguata motivazione, attività di cittadinanza attiva e solidale, commisurate all'orario scolastico relativo al numero di giorni per i quali è deliberato l’allontanamento. Le suddette attività devono essere inserite all’interno del Piano triennale dell'offerta formativa (PTOF) e si svolgono presso le strutture ospitanti che la scuola individua sulla base di un elenco predisposto dall’Ufficio scolastico regionale. Il mancato o parziale svolgimento delle attività di cittadinanza attiva e solidale viene considerato dal Consiglio di classe ai fini dell'attribuzione del voto di comportamento. Le ore di attività di cittadinanza attiva e solidale sono computate nei tre quarti dell'orario annuale personalizzato richiesto ai fini della validità dell'anno scolastico, pur non influendo sulla valutazione degli apprendimenti delle singole discipline. Nei periodi di allontanamento non superiori a quindici giorni deve essere previsto un rapporto tra la comunità scolastica, lo studente e i suoi genitori tale da preparare il rientro nel gruppo classe (art. 4, c. 8); il consiglio di classe, con lo scopo di garantire la piena consapevolezza, da parte dello studente, dei comportamenti coerenti con i principi ispiratori della vita della comunità scolastica, può deliberare, ove necessario, la prosecuzione delle attività'
di cittadinanza attiva e solidale anche dopo il rientro nel gruppo classe, per un periodo massimo pari ai tre quarti dell'orario scolastico corrispondente ai giorni di allontanamento deliberato, e nel rispetto dei principi di temporaneità, proporzionalità e gradualità (art. 4, c. 8-quinquies);
- per allontanamenti dalla comunità scolastica superiori a quindici giorni, deliberati dal Consiglio di Istituto, la scuola promuove – in coordinamento con la famiglia e, ove necessario, anche con i servizi sociali e l’autorità giudiziaria – un percorso di recupero educativo mirato all'inclusione, alla responsabilizzazione e al reintegro, ove possibile, nella comunità scolastica (art. 4, c. 8-sexies). L'allontanamento dello studente dalla comunità scolastica superiore a quindici giorni può essere disposto anche quando siano stati commessi reati che violano la dignità e il rispetto della persona umana o vi sia pericolo per l'incolumità delle persone,
nonché in presenza di atti violenti o di aggressione nei confronti del personale scolastico, delle studentesse e degli studenti. In tale caso, la durata dell'allontanamento è commisurata alla gravità del reato ovvero al permanere della situazione di pericolo. Si applica, per quanto possibile, il disposto del comma 8 (art. 4, c. 9).

▪ ATTIVITÀ DI CITTADINANZA ATTIVA E SOLIDALE – MODALITÀ PROCEDURALI

In merito, è opportuno tener presente quanto segue:
- le attività di cittadinanza attiva e solidale, come sopra ribadito, devono essere svolte presso strutture esterne con le quali l'istituzione scolastica, nell'ambito della propria autonomia, stipula convenzioni, assicurando il raccordo e il coordinamento con le medesime (art. 4, c. 8-ter);
- le convenzioni disciplinano il percorso formativo personalizzato di attività di cittadinanza attiva e solidale, i tempi, le modalità, il contesto e i limiti del suo svolgimento presso le strutture ospitanti, nonché le rispettive figure di riferimento, tenendo anche conto che durante le attività di cittadinanza attiva e solidale, l'obbligo di vigilanza sulle studentesse e sugli studenti è in capo
alle strutture ospitanti, che comunicano tempestivamente alle istituzioni scolastiche eventuali assenze (art. 4, c. 8-ter);
- le strutture devono essere individuate dalle scuole esclusivamente tra quelle inserite nell’elenco su citato, che l’Ufficio scolastico regionale predispone a seguito di apposito avviso e con cui enti, associazioni e enti del Terzo settore possono manifestare la propria disponibilità ad accogliere lo studente nelle suddette attività di cittadinanza attiva e solidale. L’avviso pubblico specificherà i requisiti e i criteri definiti dal Ministero dell'istruzione e del merito (MIM), ad oggi ancora non resi noti, in base ai quali individuare le strutture accoglienti (art. 4, c. 8-ter);
- è compito dell’Ufficio scolastico regionale effettuare attività di verifica del mantenimento dei requisiti citati da parte delle strutture accoglienti accreditate, nonché procedere all’acquisizione di ulteriori manifestazioni di interesse pervenute, aggiornando annualmente gli elenchi di cui sopra (art. 4, c. 8-ter);
- in caso di indisponibilità delle strutture ospitanti, dovuta all’inidoneità delle stesse a causa dell'assenza dei requisiti individuati dal MIM, ovvero alla mancata presentazione di manifestazioni di interesse, le attività di cittadinanza attiva e solidale ivi contemplate, sono svolte a favore della comunità scolastica (art. 4, c. 8-quater);
- nelle more della definizione degli elenchi regionali delle strutture ospitanti, come sopra illustrato, le attività di cittadinanza attiva e solidale sono effettuate solo ed unicamente a favore della comunità scolastica (art. 6, c. 3-bis), dal momento che - dall’entrata in vigore delle nuove disposizioni normative - le predette strutture accoglienti devono possedere i requisiti e i relativi criteri individuati dal MIM.
Si fa presente, altresì, che per la realizzazione delle suddette attività di cittadinanza attiva e solidale, le istituzioni scolastiche, nell'ambito della loro autonomia, individuano le figure referenti per la realizzazione di tali attività, nell'ambito del personale scolastico, da remunerare a carico del Fondo per il Miglioramento dell'Offerta Formativa (art. 4, c. 8-ter).

▪ REGOLAMENTO DI DISCIPLINA D’ISTITUTO E PATTO DI CORRESPONSABILITÀ

Le istituzioni scolastiche, nell'ambito della loro autonomia, entro il termine di trenta giorni dalla data di entrata in vigore del D.P.R. n. 134/2025, ovvero entro lo scorso 10 novembre, sono state chiamate (art. 6, c. 1-bis) a adeguare il Regolamento di istituto alle previsioni di cui all'articolo 4, commi 8-bis, 8-ter, 8-quater, 8-quinquies e 8-sexies, sopra riportate, anche previa consultazione degli studenti di scuola secondaria superiore e dei genitori degli allievi di scuola secondaria di primo grado (art. 6, c. 1).
In ragione di quanto sopra, si è reso necessario intervenire per adeguare e integrare il Patto educativo di corresponsabilità. Nel dettaglio:
- nel Patto va incluso l'impegno dell'istituzione scolastica e delle famiglie a collaborare per consentire l'emersione di episodi riconducibili ai fenomeni del bullismo e del cyberbullismo, di situazioni di uso o abuso di alcool o di sostanze stupefacenti, nonché
di altre forme di dipendenza (art. 5, c. 1-bis);
- è necessario che le istituzioni scolastiche abbiano integrato il Patto, definendo in maniera dettagliata le attività formative e informative che intendono programmare a favore delle studentesse, degli studenti e delle loro famiglie, con particolare riferimento all'uso sicuro e consapevole della rete internet (art. 5, c. 1-ter);
- si ribadisce la necessità, da parte delle scuole, nell'ambito delle prime due settimane di inizio delle attività didattiche, di prevedere e realizzare iniziative idonee per le opportune attività di accoglienza dei nuovi studenti, per la presentazione e la condivisione dello statuto delle studentesse e degli studenti, del piano triennale dell'offerta formativa, dei regolamenti di istituto e
del patto educativo di corresponsabilità (art. 5, c. 3).
Si invita le istituzioni scolastiche a prestare la massima attenzione nell’applicazione delle novità normative riguardanti lo Statuto delle studentesse e degli studenti, in base a quanto sopra richiamato, soprattutto tenendo conto che, come più volte ribadito, al momento le attività di cittadinanza attiva e solidale possono essere svolte solamente a favore delle comunità scolastiche (cfr. art. 6, c. 3-bis).

Si confida nello scrupoloso rispetto, da parte di tutte le scuole, di quanto previsto dal nuovo quadro normativo e si porgono i più cordiali saluti.

IL DIRETTORE GENERALE
Luciana VOLTA

(Firmato digitalmente)

04/04/2025 n° 2773
Area: Prassi, Circolari, Note

Ministero dell'Istruzione e del Merito

Dipartimento per le risorse, l’organizzazione e l’innovazione digitale

Dipartimento per il sistema educativo di istruzione e formazione

Alle Istituzioni Scolastiche ed educative Statali e Paritarie
Ai Direttori generali/Dirigenti titolari
degli Uffici Scolastici Regionali

e p.c. All’Ufficio di Gabinetto
del Ministero dell’istruzione e del merito

Al Sovrintendente agli Studi della Valle d’Aosta

Al Sovrintendente Scolastico
della Provincia di Bolzano

Al Dirigente del Dipartimento Istruzione
per la Provincia Autonoma di Trento

Oggetto: Indicazioni alle Istituzioni scolastiche ed educative statali in merito alle modalità di gestione del registro elettronico

Con la presente nota, il Ministero dell’Istruzione e del Merito (a seguire, anche «Ministero») intende fornire alle Istituzioni scolastiche ed educative statali (a seguire, anche «Istituzioni Scolastiche» o «Istituzioni») indicazioni operative (a seguire, anche «Indicazioni Operative» o «Indicazioni») in merito alle modalità di gestione dei registri scolastici online di cui all’art. 7, comma 31, del D.L. n. 95/2012 (a seguire, anche «Registro/i») e degli eventuali rapporti di fornitura con operatori economici (a seguire, anche «Fornitori»).
In via preliminare, si evidenzia che il Registro presenta particolari profili di delicatezza, essendo strettamente connesso all’espletamento di funzioni pubbliche essenziali proprie delle Istituzioni Scolastiche, con conseguente coinvolgimento di molteplici dati personali di studentesse e studenti, genitori, dirigenti scolastici e personale scolastico, come anche precisato dal Garante per la Protezione dei Dati Personali all’interno del Vademecum «La scuola a prova di privacy», Ed. 2023 (1). I Registri in questione, pertanto, devono essere esclusivamente orientati al soddisfacimento delle finalità di organizzazione e gestione delle attività educative nel pieno rispetto della normativa vigente.
Ferma restando l’autonomia delle Istituzioni Scolastiche, si riportano a seguire alcuni aspetti di particolare rilevanza, previsti dalla normativa e dalle buone prassi di settore, dei quali se ne raccomanda la puntuale adozione.
L’utilizzo del Registro è previsto dal citato art. 7, comma 31, del D.L. n. 95/2012, il quale dispone che «A decorrere dall'anno scolastico 2012-2013 le istituzioni scolastiche e i docenti adottano registri on line e inviano le comunicazioni agli alunni e alle famiglie in formato elettronico».

In particolare, il Registro consente:
(i) la gestione delle attività didattiche da parte dei docenti (i.e., assenze, voti, giudizi, annotazioni sulle lezioni);
(ii) la presa visione dell’attività scolastica svolta dalle studentesse e dagli studenti da parte delle famiglie (i.e., compiti, lezioni, assenze, voti);
(iii) la trasmissione di comunicazioni istituzionali da parte del Ministero e delle Istituzioni alle famiglie, alle studentesse e agli studenti, anche alla luce della Nota MIM n. 788 del 31 gennaio 2025.
Il Registro non deve, pertanto, contenere servizi o attività non aderenti rispetto alla finalità di cui sopra quali, a titolo esemplificativo e non esaustivo: (i) svolgimento di iniziative commerciali o di marketing, (ii) trasferimento di dati a soggetti terzi, salvi i casi in cui ciò sia strettamente connesso al funzionamento del Registro (i.e., servizi cloud), (iii) messa a disposizione di contenuti non essenziali (i.e., mini-games, oroscopo, chat), (iv) esposizione di banner pubblicitari o rinvio a siti di terze parti contenenti proposte commerciali di qualunque categoria merceologica (i.e. acquisto di libri, di materiale scolastico, etc.).
Si coglie questa occasione per fornire nuovamente alcune importanti istruzioni e indicazioni, di pronta consultazione, in merito alle modalità di identificazione e di autenticazione, di integrazione, di interoperabilità, di data-protection, di sicurezza dei dati e di trasferibilità dei dati contenuti nel Registro (Allegato 1).
Le indicazioni operative fornite potranno essere periodicamente aggiornate dal Ministero alla luce delle evoluzioni normative e tecnologiche rilevanti per le questioni trattate.
Con riferimento all’uso del Registro, si ricorda, infine, la nota 11 luglio 2024, prot. n. 5274, avente ad oggetto “Disposizioni in merito all’uso degli smartphone e del registro elettronico nel primo ciclo di istruzione”, e le raccomandazioni in merito alla necessità “di accompagnare la notazione sul registro elettronico delle attività da svolgere a casa con la notazione giornaliera sui diari/agende personali”, in modo tale che “ciascun alunno potrà acquisire una crescente autonomia nella gestione degli impegni scolastici, senza dover ricorrere necessariamente all’utilizzo del registro elettronico”.
In caso di quesiti è possibile richiedere assistenza scrivendo al supporto «Help Desk Amministrativo Contabile» (HDAC), accedendo al seguente link: istruzione.it/hdac.
L’occasione è gradita per porgere cordiali saluti.

DIPARTIMENTO PER IL SISTEMA EDUCATIVO DI ISTRUZIONE E DI FORMAZIONE 

(Firmato digitalmente da Carmela Palumbo)

DIPARTIMENTO PER LE RISORSE, L’ORGANIZZAZIONE E L’INNOVAZIONE DIGITALE

(Firmato digitalmente da Nando Minnella)

(1) Il Vademecum «La scuola a prova di privacy», Ed. 2023, è reperibile al seguente link Scuola - Garante Privacy. Con riferimento al trattamento dei dati personali nell’ambito delle Istituzioni Scolastiche, si riporta a seguire il link delle FAQ elaborate dal Garante per la Protezione dei Dati Personali FAQ - Scuola e privacy - Garante Privacy.

*****

ALLEGATO 1
VADEMECUM REGISTRO ELETTRONICO

1) Procedura di identificazione e autenticazione
In coerenza con quanto previsto dall’art. 24, comma 4, del D.L. n. 76/2020 e dall’art. 64 del CAD, l’accesso al Registro deve avvenire esclusivamente mediante l’utilizzo di identità digitali (i.e., SPID, CIE, eIDAS).
Tali modalità di accesso, infatti, consentono di garantire un adeguato livello di sicurezza, impedendo o limitando l’accesso al Registro medesimo a soggetti non autorizzati. A tal fine è importante che, progressivamente, l’identità digitale diventi la preponderante modalità di accesso al registro.
Si ricorda inoltre che, al fine di semplificare gli adempimenti tecnico-amministrativi, il Ministero ha messo a disposizione delle Istituzioni Scolastiche e dei Fornitori che implementano pacchetti software una piattaforma di autenticazione c.d. «Gateway delle identità» o «eID Gateway», che agevola l’integrazione con i sistemi «Entra con SPID», «Entra con CIE» e «Login with eIDAS», facilitando l’accesso alle applicazioni con cui le Istituzioni medesime erogano servizi a studentesse e studenti, genitori, docenti e personale scolastico.
Ai fini di cui sopra, il suddetto «Gateway delle identità» supporta anche l’utilizzo dello SPID Minori, consentendo agli alunni e agli studenti minorenni di poter utilizzare i servizi sia tramite SPID che CIE.

2) Interoperabilità e integrazione con gli ulteriori servizi resi disponibili dal Ministero
Ai sensi di quanto previsto dagli artt. 12 e 64-bis del CAD, il Registro deve essere interoperabile con le applicazioni digitali del Ministero, al fine di assicurare la qualità, la continuità e la condivisione dei servizi offerti dal Ministero medesimo nei confronti di studentesse e studenti, genitori, dirigenti scolastici e personale scolastico.
In particolare, il Registro deve consentire l’interoperabilità con il Sistema Informativo dell’Istruzione (SIDI), utilizzato per monitorare, gestire e fornire servizi legati al mondo della scuola e con le principali applicazioni in uso quali ad esempio, l’Anagrafe Nazionale degli Studenti (ANS), la Piattaforma Unica, il servizio Pago In Rete.

3) Accessibilità
Il Registro deve garantire il rispetto delle previsioni in materia di accessibilità dei siti web e delle applicazioni mobili per le persone con disabilità, al fine di erogare Servizi fruibili, senza discriminazioni, nei confronti dell’intera platea di utenti (i.e., Legge del 9 gennaio 2004, n. 4, recante «Disposizioni per favorire e semplificare l'accesso degli utenti e, in particolare, delle persone con disabilità agli strumenti informatici»; D.Lgs. n. 106/2018, recante «Attuazione della direttiva (UE) 2016/2102 relativa all’accessibilità dei siti web e delle applicazioni mobili degli enti pubblici»;
Linee Guida sull’accessibilità degli strumenti informatici, adottate dall’Agenzia per l’Italia Digitale, da ultimo aggiornate il 29 maggio 2023, che definiscono i requisiti tecnici per l’accessibilità degli strumenti informatici, ivi inclusi i siti web e le applicazioni mobili).

4) Data Protection
Le Istituzioni Scolastiche, in relazione ai trattamenti effettuati per il tramite del Registro, ricoprono la funzione di Titolari del trattamento dei dati personali, in quanto, ai sensi dell’art. 4, par. 1, n. 7, del GDPR, determinano le finalità e i mezzi del trattamento di dati personali. Per tale motivo, devono garantire che i Servizi affidati siano rispettosi dei principi in materia di protezione dei dati personali come riportati all’interno dell’art. 5 del GDPR ossia:
(i) liceità, correttezza e trasparenza nel trattamento dei dati personali dell’interessato, (ii) limitazione della finalità;
(iii) minimizzazione dei dati, (iv) esattezza dei dati, (v) limitazione della conservazione, (vi) integrità e riservatezza nel trattamento dei dati e (vii) responsabilizzazione.
Tra i principali adempimenti che le Istituzioni Scolastiche, nell’ambito della propria autonomia didattica e organizzativa, sono tenute ad eseguire in qualità di Titolari, si segnalano i seguenti:
(i) esecuzione di una valutazione di impatto sul trattamento dei dati personali (DPIA), al fine di individuare i rischi connessi al trattamento eseguito (artt. 35 e ss. del GDPR);
(ii) rilascio agli interessati di un’idonea informativa sul trattamento dei dati personali, ai sensi degli artt. 13 e 14 del GDPR;
(iii) nomina dei soggetti autorizzati al trattamento dei dati personali (art. 29 del GDPR e art. 2–quaterdecies del D.Lgs. n. 196/2003).
Per adempiere a tali attività, le Istituzioni Scolastiche possono opportunamente coinvolgere anche i rispettivi «Data Protection Officer».
Le Istituzioni Scolastiche nominano, inoltre, all’interno di uno specifico contratto o altro atto giuridico, i Fornitori quali Responsabili del trattamento dei dati, che ai sensi dell’art. 28 del GDPR, a titolo esemplificativo, provvedono
a:
(a) trattare i dati personali per le sole finalità specificate e nei limiti dell’esecuzione delle prestazioni contrattuali;
(b) garantire la riservatezza dei dati personali trattati nell’ambito del contratto e verificare che le persone autorizzate a trattare i dati personali in virtù del contratto: (i) si impegnino a rispettare la riservatezza o siano sottoposti a un obbligo legale appropriato di segretezza, (ii) ricevano la formazione necessaria in materia di protezione dei dati personali e (iii) trattino i dati personali osservando le istruzioni impartite dal Titolare;
(c) informare il Titolare tempestivamente e, in ogni caso senza ingiustificato ritardo dall’avvenuta conoscenza, di ogni violazione di dati personali (cd. data breach), ai sensi degli artt. 33 e 34 del GDPR.

5) Sicurezza dei dati trattati
Tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento, gli atti con i quali si procede all’affidamento del Registro devono prevedere che l’operatore economico adotti, in qualità di Responsabile, tutte le opportune misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio (art. 32 del GDPR) quali, ad esempio:
(a) misure di «Business continuity», che hanno lo scopo di mantenere la continuità delle operazioni essenziali, qualora si verifichino situazioni di crisi o incidenti di sicurezza che causino l’indisponibilità dei sistemi per un certo lasso di tempo;
(b) misure di «Disaster Recovery», che garantiscono la capacità di ripristinare i sistemi compromessi nel modo più rapido e sicuro possibile;
(c) adozione di soluzioni cloud rispondenti alla specifica normativa di settore, ivi compresa la disciplina contenuta all’interno del «Regolamento per le Infrastrutture digitali e per i servizi cloud per la Pubblica Amministrazione, ai sensi dell’articolo 33-septies, comma 4, del Decreto-Legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla Legge 17 dicembre 2012, n. 211», adottato con Decreto Direttoriale dell’Agenzia per la cybersicurezza nazionale n. 21007 del 27 giugno 2024.

6) Trasferibilità dei dati contenuti nel Registro
I dati contenuti nel Registro devono essere pienamente e facilmente trasferibili ad altri Registri e/o applicazioni rispetto a specifiche esigenze delle Istituzioni scolastiche.

21/01/2026 n° 56
Area: Prassi, Circolari, Note

AUTORITA' NAZIONALE ANTICORRUZIONE

…..OMISSIS….. – contratti misti di concessione - art. 180, comma 3, del d.lgs. 36/2023 - richiesta di parere.
UPREC-CONS-0260-2025
FUNZ CONS 56/2025

In esito a quanto richiesto con nota pervenuta in data 2 ottobre 2025 acquisita al prot. Aut. n. 128537, ai sensi del Regolamento sulla funzione consultiva del 17 giugno 2024, si comunica che il Consiglio dell’Autorità, nell’adunanza del 21 gennaio 2026, ha approvato le seguenti considerazioni.
Si rappresenta preliminarmente che esula dalla sfera di competenza di questa Autorità il rilascio di pareri preventivi in ordine ad atti e provvedimenti delle stazioni appaltanti, nonché alla stipula di contratti d’appalto o di concessione, fatto salvo l’esercizio dell’attività di vigilanza collaborativa in materia di contratti pubblici ai sensi del relativo Regolamento. Pertanto, il presente
parere è volto a fornire un indirizzo generale sulla questione sollevata nell’istanza, esclusivamente sulla base degli elementi forniti nella stessa.
Con la nota sopra indicata l’Amministrazione regionale comunica di aver avviato, in data 5 settembre 2025, sulla piattaforma MePa di Consip Spa, una trattativa diretta ai sensi dell’articolo 50, comma 1, lettera b) del d.lgs. 36/2023, per l’affidamento del “Servizio di installazione e gestione di distributori automatici di bevande calde e fredde e di alimenti e di erogatori d’acqua presso le sedi del …..OMISSIS…..” per un importo complessivo inferiore a euro 140.000. La stessa rappresenta al riguardo che l’oggetto dell’affidamento si articola nelle seguenti prestazioni: (i) installazione e gestione di distributori automatici di bevande calde, fredde e alimenti e (ii) installazione e gestione di erogatori d’acqua, inclusa la fornitura di bombole di CO2. Specifica, inoltre, che il valore economico della parte relativa ai distributori automatici è pari ad euro 18.602,90 annui, mentre quella relativa
agli erogatori, è pari ad euro 1.470,00 annui.
Il suindicato servizio è stato qualificato dalla stazione appaltante come “contratto misto”, avendo ad oggetto sia elementi riferibili alla concessione (installazione e gestione di distributori automatici di bevande calde, fredde e alimenti), sia elementi riferibili all’appalto (installazione e gestione di erogatori d’acqua, comprensivo della fornitura di bombole di CO2). Pertanto, in
applicazione dell’articolo 180, comma 3, del Codice, ritenendo di dover qualificare l’affidamento come “appalto”, la stazione appaltante ha indetto una procedura di affidamento ai sensi dell’art. 50, comma 1, lettera b), del d.lgs. 36/2023.
In data 25 settembre 2025, è pervenuta all’Amministrazione richiedente una comunicazione da parte di un operatore economico che, qualificato l’oggetto della procedura come concessione, ha contestato l’applicazione delle norme in materia di affidamento diretto, rappresentando la necessità di applicare, nella fattispecie, la procedura negoziata prevista dall’art. 187 del Codice.
Pertanto, la stazione appaltante ha sospeso la procedura di affidamento per i dovuti approfondimenti.
La richiedente ha quindi sottoposto all’attenzione dell’Autorità un quesito relativo alle disposizioni dell’art. 180, comma 3, del d.lgs. 36/2023, al fine di chiarire se la norma, laddove stabilisce che “I contratti misti che contengono elementi della concessione ed elementi dell’appalto pubblico sono aggiudicati in conformità alla disciplina degli appalti”, contenga una clausola di prevalenza quale metodo di individuazione del regime giuridico applicabile e se, dovendosi applicare la disciplina degli appalti, sia corretto ricorrere alla procedura di cui all’art. 50, comma 1, lettera b), d.lgs. 36/2023, in tutti i casi in cui il valore complessivo del contratto sia inferiore ad euro140.000.
Al fine di esprimere avviso in ordine al quesito posto, si richiama l’art. 180 (Contratti misti di concessione) del Codice, ai sensi del quale «1. Le concessioni aventi per oggetto sia lavori che servizi sono aggiudicate in conformità alle disposizioni applicabili alla prestazione che caratterizza l’oggetto principale delle concessioni stesse. 2. Nel caso di concessioni miste che consistono in
parte in servizi sociali e altri servizi specifici elencati all’allegato IV alla direttiva 2014/23/UE del Parlamento europeo e del Consiglio del 26 febbraio 2014, l’oggetto principale è determinato in base al valore stimato più elevato tra quelli dei rispettivi servizi. 3. I contratti misti che contengono elementi della concessione ed elementi dell’appalto pubblico sono aggiudicati in conformità alla disciplina degli appalti. 4. Se le diverse parti di un determinato contratto sono oggettivamente non separabili, il regime giuridico applicabile è determinato in base all’oggetto principale del contratto in questione. Nel caso in cui tali contratti contengano elementi sia di una concessione di servizi sia di un contratto di forniture, l’oggetto principale è determinato in base al valore stimato più elevato tra quelli dei rispettivi servizi o forniture. 5. I contratti misti che contengono elementi delle concessioni
di lavori e servizi, nonché elementi delle concessioni di terreni, fabbricati esistenti o altri beni immobili o riguardanti diritti su tali beni, sono aggiudicati in conformità alla disciplina della presente Parte».
La disposizione, dettata in recepimento dell’art. 20 della direttiva 2014/23/UE - con riguardo ai profili di interesse ai fini del parere - stabilisce al comma 3 che i contratti misti che contengono elementi della concessione ed elementi dell’appalto pubblico “sono aggiudicati in conformità alla disciplina degli appalti”.
La ratio di una tale previsione è indicata nella Relazione Illustrativa del Codice, secondo la quale «[…] la norma precisa, in via di principio, che le concessioni aventi per oggetto sia lavori che servizi sono aggiudicate secondo le disposizioni applicabili al tipo di concessione che caratterizza l'oggetto principale del contratto (comma 1). L'articolo chiarisce quali disposizioni applicare nel caso
dei contratti misti, secondo metodologie analoghe a quelle previste nei contratti misti di appalto (comma 2). In dettaglio, si chiariscono due punti rilevanti. In primo luogo, si stabilisce – sempre in termini di principio - che nel caso di contratti misti contenenti elementi di concessioni nonché elementi di appalti pubblici, il contratto misto è aggiudicato in conformità alla disciplina degli appalti (comma 3), al fine di garantire l’applicazione derivante dal maggior dettaglio di queste ultime norme.
In secondo luogo, si stabilisce – analogamente in termini di principio – che se le diverse parti di un determinato contratto sono oggettivamente non separabili, il regime giuridico applicabile è determinato in base all’oggetto principale del contratto in questione; nel caso in cui tali contratti contengano elementi sia di una concessione di servizi sia di un contratto di forniture, l’oggetto principale è determinato in base al valore stimato più elevato tra quelli dei rispettivi servizi o forniture (comma 4). La norma si fonda anche su quanto già emerso dai principi espressi in giurisprudenza sul vecchio testo, alla luce della disciplina europea di riferimento. In generale, la distinzione tra concessione e appalto di servizi si fonda sul criterio dell'assunzione del rischio operativo e delle modalità di remunerazione degli investimenti del contraente privato. La concessione di servizi instaura infatti un rapporto a titolo oneroso che prevede, quale corrispettivo per le prestazioni rese dal privato, il diritto di gestire i servizi oggetto del contratto o tale diritto accompagnato da un prezzo, con assunzione in capo al concessionario del rischio operativo legato alla gestione del servizio. Nel caso dell'appalto di servizi, invece, non vi è trasferimento del rischio operativo al contraente privato, che ottiene la remunerazione delle prestazioni rese mediante il corrispettivo versato dalla stazione appaltante. Inoltre, qualora l'affidamento contempli l'esecuzione dei lavori congiuntamente alla gestione di un servizio, la linea di demarcazione tra i
diversi istituti va individuata avendo di mira la direzione del nesso di strumentalità che lega gestione del servizio ed esecuzione dei lavori, nel senso che solo laddove la gestione del servizio sia servente rispetto alla costruzione delle opere è configurabile l'ipotesi della concessione di lavori pubblici; viceversa, l'inserimento dei lavori all'interno di un programma complesso rivolto alla gestione dei servizi volti a soddisfare esigenze primarie di rilievo sociale induce a ritenere che siano i lavori a porsi in termini obiettivamente accessori o secondari rispetto alla gestione delle strutture (cfr. in termini, Cons. Stato, sez. V, 19 giugno 2019, n. 4186). Tali indicazioni di principio si muovono altresì nel perseguimento degli obiettivi indicati dalla lettera aa) della legge delega, anche al fine di rendere tali procedure effettivamente attrattive per gli investitori professionali, oltre che per gli operatori
del mercato delle opere pubbliche e dell'erogazione dei servizi resi in concessione, garantendo la trasparenza e la pubblicità degli atti. […]». Sulla base delle indicazioni contenute nel documento sopra richiamato e ferma la distinzione tra appalto di servizi e concessione di servizi, nei termini ivi indicati, può quindi osservarsi che l’art. 180, comma 3, del Codice stabilisce l’applicazione delle disposizioni in tema di appalti pubblici nel caso di contratto misto di concessione/appalto pubblico, perseguendo la finalità – secondo quanto evidenziato nella Relazione Illustrativa - di “garantire l’applicazione derivante dal maggior dettaglio di queste ultime norme”.
L’art. 180 dispone, altresì, al comma 4, che ove le parti del contratto misto siano “oggettivamente non separabili”, il regime giuridico applicabile, sarà determinato in base all’oggetto principale del contratto in questione, fermo restando quanto previsto ulteriormente dal comma 4 medesimo, secondo il quale «Nel caso in cui tali contratti contengano elementi sia di una
concessione di servizi sia di un contratto di forniture, l’oggetto principale è determinato in base al valore stimato più elevato tra quelli dei rispettivi servizi o forniture».
L’art. 180, comma 3, del Codice – applicabile quindi quando le parti del contratto misto sono oggettivamente separabili (norma sulla quale verte il quesito in esame) - deve essere letta congiuntamente con l’art. 14, comma 21, del d.lgs. 36/2023, ai sensi del quale «I contratti misti che contengono elementi sia di appalti di forniture, lavori e servizi nei settori ordinari sia di concessioni
sono aggiudicati in conformità alle disposizioni del codice che disciplinano gli appalti nei settori ordinari, purché l’importo stimato della parte del contratto che costituisce un appalto, calcolato secondo il presente articolo, sia pari o superiore alla soglia pertinente».
La lettura congiunta e coordinata delle disposizioni dell’art. 14, comma 21, sopra riportato con quelle dell’art.180, comma 3 del Codice, porta a ritenere che in un contratto misto di concessione e appalto pubblico, la disciplina dettata dal Codice per gli appalti nei settori ordinari, troverà applicazione esclusivamente nel caso in cui la parte relativa all’appalto pubblico sia pari o
superiore alla soglia pertinente indicata nell’art. 14 citato. In caso contrario, quindi ove la parte relativa all’appalto pubblico sia di importo inferiore alle soglie di riferimento, il contratto misto di concessione resterà disciplinato dalle norme contenute per tale schema negoziale nel Libro IV, Parte II, del d.lgs. 36/2023.
Una simile ricostruzione appare in linea con la ratio del citato art. 180, comma 3 che, come sottolineato nella Relazione Illustrativa, mira “a garantire l’applicazione derivante dal maggior dettaglio” delle norme in tema di appalti pubblici.
Appare evidente al riguardo che tale finalità può essere perseguita esclusivamente nel caso in cui trovi applicazione, per l’affidamento della concessione mista, la disciplina dettata per gli appalti pubblici di valore superiore alle soglie comunitarie, essendo quella dettata per gli appalti di valore inferiore a tali soglie, maggiormente semplificata e più snella rispetto alla prima,
consentendo (tra l’altro) l’affidamento diretto del contratto ai sensi dell’art. 50 del Codice.
Affidamento diretto che, invece, la disciplina dettata per i contratti di concessione di valore inferiore alle soglie comunitarie, non contempla, avendo il legislatore dettato, per tali fattispecie, specifiche previsioni all’art. 187 (“Contratti di concessione di importo inferiore alla soglia europea”) del d.lgs. 36/2023. Ai sensi di tale disposizione, infatti, «1. Per l’affidamento dei contratti di
concessione il cui valore sia inferiore alla soglia di cui all’articolo 14, comma 1, lettera a), l’ente concedente può procedere mediante procedura negoziata, senza pubblicazione di un bando di gara, previa consultazione, ove esistenti, di almeno 10 operatori economici, nel rispetto di un criterio di rotazione degli inviti, individuati sulla base di indagini di mercato o tramite elenchi di operatori economici. Resta ferma la facoltà per l’ente concedente di affidare gli stessi contratti di concessione di importo inferiore alla soglia europea mediante le procedure di gara disciplinate dal presente Titolo II. 2. Ai contratti di importo inferiore alla soglia europea si applicano le norme sull’esecuzione di cui al Titolo III della presente Parte».
Pertanto, secondo le disposizioni sopra richiamate, le concessioni di valore inferiore alle soglie comunitarie devono essere affidate con la procedura indicata dal citato art. 187 del Codice, con esclusione dell’affidamento diretto, previsto e disciplinato per gli appalti pubblici di valore inferiore a tali soglie, all’art. 50 del d.lgs. 36/2023.
Sembra utile richiamare al riguardo l’avviso espresso dal giudice amministrativo, secondo il quale «(…) la procedura di affidamento delle concessioni sotto la soglia di rilevanza europea potrà avvenire secondo le modalità delineate dal citato art. 187, ovvero mediante procedura negoziata, senza pubblicazione di un bando di gara, previa consultazione, ove esistenti, di almeno 10 operatori economici, ferma restando l’opzione dell’ente concedente di utilizzare le procedure di gara disciplinate, per le concessioni, dalle altre disposizioni del Titolo II, della Parte II, del Libro IV del Codice (cfr. in termini, TAR Parma, sez. I, 18 giugno 2024, n. 155; TAR Catania, sez. II, 2 dicembre 2024, n. 3956 e, da ultimo, TAR Lazio, sez. II bis, 25 marzo 2025, n. 6043). (…) nella specie ricorre un rapporto di concessione di un servizio pubblico rispetto al quale non è possibile l’affidamento
diretto (cfr. Consiglio di Stato, sez. V, 14 ottobre 2024, n. 8220) neanche per importi inferiori alla soglia europea, mentre la disciplina applicabile è quella dettata dall’art. 187 del Decreto Legislativo 31 marzo 2023 n. 36» (TAR Sicilia, Palermo, n. 1165/2025).
La disposizione di cui all’art. 187 citato, infatti, «risponde, da un lato, alle stesse finalità di flessibilità e semplificazione cui è ispirato l’art. 50 del Decreto Legislativo 31 marzo 2023 n. 36 (peraltro ulteriormente ribadite dal Piano Nazionale di Ripresa e Resilienza); dall’altro sembra valorizzare in maniera più spiccatamente garantista le esigenze pro-concorrenziali, intendendo
coinvolgere il maggior numero possibile degli operatori economici (dieci), anche con evidenti asimmetrie rispetto a quanto previsto dall’art. 50 (…)» (TAR Emilia-Romagna, n. 155/2024).
Pertanto, anche sulla base dell’avviso giurisprudenziale richiamato, in risposta al quesito sollevato nell’istanza di parere, può osservarsi che ai sensi del combinato disposto dell’art. 180, comma 3, con l’art. 14, comma 21, del d.lgs. 36/2023, in un contratto misto di concessione e appalto pubblico, la disciplina dettata dal Codice per gli appalti nei settori ordinari, troverà applicazione esclusivamente nel caso in cui la parte relativa all’appalto pubblico sia di valore pari o superiore alla soglia pertinente indicata nell’art. 14 citato. In caso contrario, ove la parte relativa all’appalto pubblico sia di importo inferiore a tali soglie, il contratto misto di concessione resterà disciplinato dalle norme contenute per tale schema negoziale nel Libro IV, Parte II, del d.lgs. 36/2023, applicando quindi per il relativo affidamento – in caso di valore inferiore alle soglie – l’art. 187 del Codice, nei termini in precedenza indicati.

Per quanto sopra, si rimette all’Amministrazione richiedente ogni valutazione in ordine agli atti ed ai provvedimenti da adottare nella fattispecie oggetto della richiesta di parere, sulla base dell’indirizzo generale illustrato.

Avv. Giuseppe Busia

(Firmato digitalmente)

13/11/2025 n° 667
Area: Prassi, Circolari, Note

27/02/2025 n° 115
Area: Prassi, Circolari, Note

[doc. web n. 10126123]

Provvedimento del 27 febbraio 2025

Registro dei provvedimenti
n.  115 del 27 febbraio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo.

Con reclamo presentato all’Autorità da un avvocato, in nome e per conto della sig.ra XX e del sig.XX, è stata lamentata la pubblicazione, ad opera di una docente della scuola primaria dell’Istituto comprensivo Statale Don Lorenzo Milani di Guidonia Montecelio (di seguito, l’Istituto), sul registro elettronico, del Piano educativo individualizzato (PEI) del figlio dei reclamanti.

2. L’attività istruttoria.

Con nota del XX (prot. n. XX) rispondendo alla richiesta di informazioni formulata da questa Autorità, la dirigente scolastica dell’Istituto, ha rappresentato, in particolare:

- “in data XX ricevo comunicazione da parte dell’avvocato […] di "segnalazione violazione regolamento privacy per illegittima diffusione dati sanitari del minore […]";

- “il legale afferma che “in data XX si è verificato un grave episodio di diffusione di dati sensibili giacché nella chat di classe, l’insegnante […] ha postato il Piano Educativo Individuale del figlio dei miei assistiti diffondendo dati sensibili che dovevano rimanere riservati in quanto afferenti allo stato di salute psicofisica del minore ed alle sue problematiche”;

- “venuta solo allora a conoscenza dell’episodio, avvio procedura interna di indagine con prot. ris. N. XX del XX, notando però che lo screenshot finito sulla chat ed allegato dall’Avvocato, è relativo alla pagina di accesso sul registro del genitore dell’alunno”;

- “alla richiesta di chiarimenti, la Docente prontamente produce relazione acquisita con prot. ris. n.XX del XX. Di seguito i fatti accertati. In data XX, durante l’incontro di programmazione settimanale, la […], docente di sostegno di […] della classe IIIE, inseriva all’interno del registro elettronico, sezione Condivisione Documenti, il PEI per condividerlo con i genitori del minore (…). Dalla tendina richiamava la voce alunni e docenti, inseriva il nome dell’alunno interessato ed erroneamente anche la classe (…), di conseguenza il PEI, è risultato visibile a tutti i genitori della IIIE. Questo avveniva intorno alle ore 18.00. Subito dopo la docente incontra la collega di classe che aveva già ricevuto la telefonata della [… reclamante] e si rende conto di aver commesso un errore; pertanto, alle 18.22 corregge la visualizzazione (…). In quel lasso di tempo, il genitore di […] ha visionato il registro, avvisato la signora […] e postato lo screenshot della pagina sulla chat di classe. (…). Nessuno, compreso la docente, ha ritenuto opportuno avvisare la scrivente o i miei collaboratori”;

- “è accertato che la docente […] ha commesso l’errore nella gestione della visualizzazione del documento, la diffusione dei dati è avvenuta dentro il registro, nell’ambito della classe del minore, non sulla chat dove l’informazione è stata divulgata dal citato genitore della classe. Avendo avuto notizia dell’infrazione 90 giorni dopo l’evento, la richiesta del file delle visualizzazioni al gestore del Registro elettronico comportava un esborso consistente in quanto istanza proveniente dall’Istituto e non da Autorità preposta; pertanto, non è stato possibile verificare se il documento fosse stato scaricato da qualche genitore. I dati personali violati erano costituiti dai codici della disabilità riportati in una sezione del PEI”;

- “la condivisione del PEI, con il genitore avviene nell’ambito della normativa a tutela della disabilità in particolare del XX del XX. La scelta del registro, come strumento rapido di condivisione, è relativa al processo di digitalizzazione dell’Amministrazione, la visibilità dei singoli documenti, è riservata esclusivamente ai docenti e ai genitori degli alunni interessati. Al Gestore del Registro, in occasione del rinnovo del contratto, viene dato l’incarico del trattamento dati”;

- “nessuna certificazione relativa a dati sanitari è stata e viene inserita nel registro. A seguito dell’infrazione accertata dalla scrivente, si è provveduto ad epurare dei codici i format dei PEI e PDP e a vietare la Condivisione di tali documenti attraverso il Registro o altro mezzo digitale”;

- “nel merito dell’illegittima diffusione dei dati avvenuta in data XX, è stato già coinvolto il Responsabile della Protezione dei dati designato dell’Istituto, […], con il quale sono state concordate le misure correttive”.

Sulla base degli elementi acquisiti, l’Ufficio ha notificato, con nota del XX (prot. n. XX), all’Istituto, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, in quanto la pubblicazione del PEI del figlio dei reclamanti e quello predisposto per un altro alunno, contenenti dati personali, anche relativi alla salute degli interessati, seppure avvenuta in un’area riservata del registro elettronico non accessibile a chiunque, avrebbe dato luogo, nel caso di specie, a una comunicazione di dati personali a terzi in violazione degli artt. 5, 6 e 9 del Regolamento e 2-ter e 2-sexies del Codice.

Pertanto l’Ufficio ha invitato il predetto titolare a produrre scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

L’Istituto ha fatto pervenire le proprie memorie difensive, con nota del XX, (prot. n. XX), rappresentando, in particolare, che:

- “In data XX giunge reclamo da parte dell’Avvocato […] in merito alla diffusione di dati sensibili, il PEI, dell’alunno […] della classe IIIE primaria, nella chat di classe da parte dell’insegnante di sostegno […] avvenuta il giorno XX. Da indagini interne, avviate con prot. n. XX del XX, risulta che la diffusione dei dati da parte della docente non è avvenuta sulla chat di classe, ma all’interno del Registro in un’area riservata. La violazione contestata è durata un breve lasso di tempo, circa 22 minuti. Non si ha la prova che il documento sia stato scaricato in quanto lo screenshot allegato dall’Avvocato, prova soltanto la visibilità del documento nel Registro, ma non rivela il contenuto. Non è possibile, a distanza di così tanto tempo, ottenere il file log dal gestore del registro per verificare se e chi ha scaricato il PEI. Poiché il documento si trovava all’interno di un’area riservata del Registro, la visibilità era possibile solo ai genitori della classe IIIE, formata da 21 alunni. È impossibile determinare se in quei 22 minuti tutti abbiano fatto accesso al registro. Poiché non si ha prova riguardo l’apertura del documento da parte di soggetti terzi, la diffusione dei dati certa riguarda l’informazione che l’alunno […] ha un PEI, informazione nota a tutta la classe in quanto allo stesso era stata assegnata la docente di sostegno”;

- “la docente, per mero errore materiale, inserendo all’interno del Registro Elettronico, sezione Condivisione Documenti, il PEI per condividerlo con i genitori del minore […], fleggava non solo il nome dell’alunno interessato, ma anche la classe, di conseguenza il PEI, contrariamente alle intenzioni della docente, risultava visibile a tutti i genitori della IIIE. Dalla condotta della docente, supplente temporanea, non emerge nessuna intenzionalità di diffondere i dati del proprio alunno, ma solo un’imprudenza dovuta all’inesperienza e alla scarsa conoscenza del mezzo informatico. Supportata dai colleghi, ha immediatamente posto rimedio all’errore tanto che dopo solo 22 minuti la visualizzazione è stata corretta senza provocare nessun danno altrui”;

- è stata effettuata la “correzione immediata della visualizzazione sul Registro togliendo il flag alla classe. Contatto contestuale con la famiglia da parte della docente per scusarsi dell’accaduto. Disponibilità dell’Istituto ad incontrare la famiglia che ha sempre disdetto gli appuntamenti senza giustificare i motivi. Si osserva altresì che la discrasia è avvenuta il XX e, inspiegabilmente, la contestazione è stata effettuata il XX (oltre due mesi dopo l’accaduto). Appare evidente il carattere pretestuoso della richiesta che, a mente dell’art. 11, comma 1, lettera c del Regolamento n.1/2019 concernente le procedure interne aventi rilevanza esterna finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, avrebbe potuto comportare l’archiviazione del reclamo”;

- “Nessuna certificazione relativa a dati particolari viene inserita nel registro. A seguito dell’infrazione accertata dalla scrivente, si è provveduto ad epurare dei dati riconducibili alla salute i format dei PEI al fine di minimizzare l’uso dei dati particolari. Viene vietata la Condivisione di tali documenti attraverso il Registro o altro mezzo digitale. Il PEI viene consegnato brevi manu al genitore interessato. Essendoci all’Interno dell’Istituto un continuo movimento di personale temporaneo, si è programmato di reiterare la formazione sul trattamento dei dati personali”;

- “L’Istituto si è dotato, da tempo, del Compendio per le attività di trattamento dei dati personali e del Registro dei trattamenti predisposti insieme al DPO”;

- “innanzi tutto ribadire quanto stabilito dall’art. 11, comma 1, lettera c del Regolamento n.1/2019 in riferimento all’evidente carattere pretestuoso del reclamo: infatti, la violazione lamentata è accaduta il XX, la segnalazione alla scuola viene effettuata il XX – dopo due mesi dall’accaduto! -, quando la discrasia lamentata era stata sanata immediatamente (dopo 22 minuti) senza che nessun danno fosse stato arrecato all’alunno titolare del PEI. Si deve, inoltre, evidenziare che la diffusione dei dati, (di cui oltretutto non si ha certezza!) sarebbe avvenuta interessando soltanto gli appartenenti alla classe frequentata dall’alunno titolare del PEI che erano già a conoscenza della condizione dell’alunno in questione. In secondo luogo, giova qui ricordare che l’art. 83 del Regolamento (UE) 2016/679 correlato con il Codice in materia di protezione dei dati personali vigente, al comma 2, detta le condizioni generali per infliggere le sanzioni amministrative pecuniarie e così rappresenta la necessità che per ogni singolo caso si debba tener conto dei seguenti elementi:

a. “…Si osserva che vi è stata solo una presunta parte lesa ed il livello del danno subito è da ritenersi inesistente per l’immediato intervento da parte della docente che inopinatamente aveva creato il problema.

b. È evidente il carattere colposo della violazione, oltretutto commessa da una docente.

c. Come più volte detto, immediatamente sono state adottate misure che hanno reso inesistente qualsivoglia danno potesse derivare dalla discrasia commessa

d. Le misure tecniche e organizzative messe in atto da tempo fino ad ora hanno evitato il ripetersi di infrazioni equivalenti

e. Non si sono verificate precedenti violazioni commesse dal titolare o dal responsabile del trattamento dei dati

f. Non vi è stato bisogno di richiedere la cooperazione dell’Autorità di controllo in quanto, in modo autonomo, l’Istituzione aveva già posto rimedio alla discrasia (il problema è stato risolto dopo 22 minuti dall’accaduto e non si è più ripetuto)

h. Si presume che l’Autorità di controllo abbia preso conoscenza della violazione dai genitori dell’alunno interessato al Pei. Dalla Nota GPDP.Ufficio.Protocollo.XX, pervenuta all’istituzione ad XX, si evince che l’Autorità ha preso conoscenza mesi dopo di una violazione commessa diversi mesi prima.

i. Non sono stati mai disposti provvedimenti di cui all’art. 58 paragrafo 2 Regolamento del titolare del trattamento o del Responsabile del trattamento in quanto, non si sono mai in precedenza evidenziati violazioni di qualsivoglia tipo

j. L’Istituto è dotato di Compendio per le attività di trattamento dei dati personali e di Registro dei trattamenti”.

Nel corso dell’audizione tenutasi in data XX la dirigente scolastica dell’Istituto ha, altresì, dichiarato:

- “sono in servizio dal XX e ho condiviso con l’allora dirigente in servizio e il dpo gli elementi da fornire;

- l’evento si è verificato il XX, la dirigente è avvenuta a conoscenza dell’accaduto solo il XX quando ha ricevuto la nota del legale della famiglia dell’interessato, si è attivata subito consultando il dpo e verificando le conseguenze della pubblicazione; altresì ha sentito la docente interessata che ha relazione per iscritto le circostanze dell’evento verificatosi;

- Il documento è stato erroneamente pubblicato dalla docente che ha inserito la spunta di flag che ha determinato la visibilità del documento a tutti i genitori;

- La visibilità della comunicazione a tutti i genitori è stata disattivata dopo circa 20 minuti;

- L’unico genitore che ha letto la comunicazione ha condiviso uno screenshot dell’avviso di pubblicazione del documento a tutti gli altri genitori nella chat di classe senza tuttavia scaricarlo;

- In seguito un genitore dell’interessato ha avvisato le docenti dell’accaduto e pertanto la docente di sostegno ha provveduto subito a rimuovere l’avviso inserito;

- Ricevuta la nota del legale la dirigente ha invitato il legale e la famiglia ad incontrarsi per parlare delle conseguenze di tale comunicazione errata, ma tale incontro non è mai avvenuto perché la famiglia non ha mai aderito a tale invito;

- Insieme al dpo l’allora dirigente ha rivisto e modificato la modulistica e la modalità di condivisione del PEI con le famiglie coinvolte che non avviene più mediante RE ma esclusivamente in modalità cartacea;

- Nel mese di XX la dirigente è venuta a conoscenza che la famiglia dell’interessato ha proposto reclamo al Garante, dopo cioè circa 9 mesi dal verificarsi dell’evento;

- Non risulta che qualcuno abbia avuto modo di visualizzare o scaricare il documento, non è giunta nessuna segnalazione al riguardo;

- Era noto a tutta la classe che era stata nominata un’insegnate di sostegno per affiancare un alunno con disabilità”.

3. Esito dell’attività istruttoria.

3.1 Normativa applicabile.

Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il “Regolamento”), definisce “dato personale”, “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” e “dati relativi alla salute”, “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, punti 1 e 15, del Regolamento).

A norma del Regolamento il trattamento di dati personali effettuato in ambito pubblico è lecito quando è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, paragrafo 1, lett. c) ed e) e paragrafo 2 e 3 del Regolamento; art 2-ter del Codice).

Più in generale, la normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (…)” (art. 6, paragrafo 2 del Regolamento).

La disciplina nazionale ha introdotto disposizioni più specifiche per adeguare l’applicazione delle norme del Regolamento, determinando, con maggiore precisione, requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (art. 6, par. 2 del Regolamento) e, in tale ambito, ha previsto che le operazioni di trattamento che consistono nella “diffusione” e “comunicazione” di dati personali sono ammesse solo quando previste da una norma di legge, regolamento o atti amministrativi generali (art. 2-ter, del Codice).

Con riguardo alle categorie particolari di dati personali, il trattamento è, di regola, consentito ove “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. g), del Regolamento), a condizione che i trattamenti siano “previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato” (art. 2-sexies, comma 1, del Codice).

Il titolare del trattamento è poi tenuto a rispettare i principi in materia di protezione dei dati, tra cui quello di “liceità, correttezza e trasparenza” in base al quale i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato (art. 5, par. 1, lett. a) del Regolamento).

3.2 Esito dell’attività istruttoria.

Da quanto emerge dal reclamo in oggetto, nonché dall’accertamento compiuto sulla base degli elementi acquisiti a seguito dell’attività istruttoria e dalle successive valutazioni di questo Dipartimento, risulta che un’insegnante dell’Istituto ha reso disponibile, nella sezione del registro elettronico accessibile a tutti i genitori della classe 3,  sez. F della scuola primaria dell’Istituto,  il Programma educativo individualizzato riguardante i ragazzi con disabilità (PEI) elaborato per il figlio dei reclamanti.

Tale documento sarebbe stato visibile sul registro elettronico per circa ventidue minuti, in quanto successivamente l’insegnate avrebbe modificato le modalità di visualizzazione e avrebbe limitato la visibilità dello stesso ai soli genitori dell’alunno interessato.

L’immagine/screenshot dell’avviso di visibilità del Pei sul registro sarebbe stato, inoltre, pubblicata dal genitore di un alunno della 3 sez. F sulla chat di classe senza tuttavia scaricare e condividere il documento nella chat.

Con riguardo al profilo relativo alla messa a disposizione sulla chat di classe del richiamato documento, si evidenzia che la creazione, da parte di alunni, genitori o rappresentanti di classe, di chat di cui fanno parte i genitori degli studenti e l’utilizzo di tali strumenti come canali di comunicazione di notizie riguardanti i diversi aspetti della vita scolastica, non risulta riconducibile alle attività istituzionali o didattiche poste in essere dall’Istituto scolastico come titolare del trattamento. La creazione di chat di classe o gruppi whatsapp è infatti riconducibile ad autonomi comportamenti posti in essere da privati, dei quali la scuola non è tenuta a rispondere.

Con riguardo al diverso profilo relativo alla messa a disposizione dei due PEI sul registro elettronico da parte dell’insegnante si osserva quanto segue.

In via preliminare si osserva che, ai sensi dell’art. 4 par.1, n. 15 del Regolamento sono considerati dati relativi alla salute “i dati personali attinenti alla salute fisica e mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni sul suo stato di salute”.

Al riguardo si rappresenta che il PEI ossia il Programma educativo individualizzato riguardante i ragazzi con disabilità, previsto dalla normativa di settore in materia di disabilità, “è il documento nel quale vengono descritti gli interventi integrati ed equilibrati tra di loro, predisposti per l'alunno in situazione di handicap, in un determinato periodo di tempo, ai fini della realizzazione del diritto all'educazione e all'istruzione” (cfr. art. 5, comma 1 d.p.r. 24 febbraio 1994) e comprende una pluralità di informazioni relative alla condizione di disabilità del ragazzo per il quale tale documento è predisposto tra cui una apposita  sezione dedicata ai dati relativi alla Diagnosi funzionale.

Tale documento è elaborato e approvato dal Gruppo di lavoro operativo per l'inclusione scolastica e le informazioni relative alla stesura o verifica del PEI recanti l’indicazione del nominativo dell’alunno per il quale tale documento viene stilato, possono essere fornite solo ai genitori dello studente interessato, ai docenti della classe di appartenenza di quest’ultimo e ai soggetti individuati dalla normativa di settore, coinvolti nell’intervento terapeutico e formativo seguito dall’alunno stesso (cfr. artt. 7 e 9, comma 10, d.lgs. 13 aprile 2017, n. 66).

In particolare, si osserva che, sebbene la pubblicazione del PEI in questione sia avvenuta in un’area riservata del registro elettronico, non accessibile a chiunque e tale da determinare una diffusione di dati personali, la conoscibilità dei dati ivi contenuti è avvenuta, ancorché per un errore materiale, comunque in favore di un novero determinato o determinabile di soggetti, essendo tale area riservata accessibile a tutti i genitori della classe di riferimento (cfr. la definizione di “comunicazione” di dati personali contenuta nell’art. 2-ter comma 4 lett. a), del Codice), dando luogo ad una comunicazione di dati personali anche relativi alla salute degli interessati.

Alla luce delle considerazioni che precedono l’Istituto ha reso conoscibile in modo ingiustificato a soggetti terzi, dati personali, anche relativi alla salute, del figlio dei reclamanti. Né può essere ritenuto rilevante, ai fini della valutazione della complessiva condotta del titolare del trattamento quanto dichiarato in merito al fatto che “gli appartenenti alla classe frequentata dall’alunno titolare del PEI (…) erano già a conoscenza della condizione dell’alunno in questione”.

Per tali ragioni l’Istituto, ancorché a seguito di un mero errore, ha posto in essere un trattamento di dati personali, in violazione degli artt. 5, 6, 9 del Regolamento e 2-ter e 2-sexies del Codice.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Pertanto, si confermano le valutazioni preliminari dell'Ufficio e si rileva l'illiceità del trattamento di dati personali effettuato dall’Istituto, in violazione degli artt. 5, 6 e 9 del Regolamento nonché dell’art. 2-ter e 2-sexies del Codice.

Ciò premesso, tenuto conto che:

- il titolare del trattamento è un istituto scolastico e, pertanto, un soggetto di ridotte dimensioni;

- l’evento si è verificato in quanto la docente per un mero errore materiale ha inserito la spunta di un flag che ha determinato la visibilità del documento a tutti i genitori della classe;

- la visibilità della comunicazione a tutti i genitori è stata disattivata dopo appena 22 minuti;

- i genitori della classe, mediante pubblicazione nella chat dello screenshot inerente alla pubblicazione del PEI, sono venuti a conoscenza della disponibilità del PEI sul registro elettronico ma non risulta invece comprovato che i genitori abbiano effettivamente preso visione del contenuto del PEI stesso, pertanto, la comunicazione dei dati riguarda l’informazione che il reclamante ha un PEI, senza conoscere il contenuto dello stesso;

- la dirigente scolastica ha invitato la famiglia ad incontrarsi per parlare di quanto accaduto ma la famiglia non ha mai aderito all’invito;

- il titolare del trattamento ha prestato piena collaborazione all’Autorità nel corso dell’istruttoria;

- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento;

le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi dell’art. 83, par. 2, del cons. 148 del Regolamento e delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25 maggio 2018.

Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per avere violato gli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento nonché dell’art. 2-ter e 2-sexies del Codice.

Considerato che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019. con conseguente annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

- ai sensi dell’art. 57, par. 1, lett. f), dichiara illecita la condotta tenuta dell’Istituto comprensivo Statale Don Lorenzo Milani di Guidonia Montecelio, con sede in via Marco Aurelio, 2 - 00012 Guidonia Montecelio (Roma) - Codice Fiscale: 86003270583, descritta nei termini di cui in motivazione, consistente nella violazione degli artt. artt. 5, par. 1, lett. a), 6 e 9 del Regolamento nonché dell’art. 2-ter e 2-sexies del Codice;

- ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce l’Istituto Comprensivo Statale Don Lorenzo Milani quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento, nonché dell’art. 2- ter e 2-sexies del Codice;

DISPONE

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 27 febbraio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei

27/03/2025 n° 167
Area: Prassi, Circolari, Note

[doc. web n. 10138981]

Provvedimento del 27 marzo 2025

Registro dei provvedimenti
n. 167 del 27 marzo 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore l'avv. Guido Scorza;

PREMESSO

1. Introduzione.

Con reclamo presentato ai sensi dell’art. 77 del Regolamento, i Sig.ri XX, XX e XX hanno lamentato, per il tramite del proprio difensore, una presunta violazione della disciplina in materia di protezione dei dati personali con riguardo all’impiego, presso le sedi dell’Istituto di Istruzione Superiore “P. Galluppi” Tropea, di un sistema di rilevazione delle presenze del personale dipendente amministrativo che, richiedendo l’utilizzo delle impronte digitali dei lavoratori, implicherebbe il trattamento dei relativi dati biometrici al fine di identificarli in modo univoco.

2. L’attività istruttoria.

Al riguardo, nell’ambito dell’istruttoria, con nota del XX, l’Istituto ha dichiarato, in particolare, che:

“nelle diverse sedi dell’IIS di Tropea il personale ATA attesta la propria presenza in servizio per mezzo di rilevatore con badge acquisito nell’anno scolastico XX […] Nel corso del tempo, tuttavia, [… l’Istituto] ha rilevato situazioni che hanno generato il dubbio sul corretto utilizzo del badge e sulla effettiva presenza in servizio di titolari del badge, oltre ad episodi di manomissioni, danneggiamenti e atti vandalici. Per fare fronte alle azioni suddette e accertarsi della effettiva presenza in servizio dei dipendenti nelle ore previste, la Dirigenza della Scuola ha proposto al personale, a sua esclusiva tutela, l’integrazione del sistema di rilevazione con l’utilizzo dell’impronta digitale in abbinamento al badge, accolto con favore dallo stesso”;

“il sistema adottato è stato scelto sulla base della garanzia in ordine alla correttezza del trattamento dati ed alla conformità al GDPR rilasciate dall’azienda fornitrice”;

“non si è pensato di dover informare e coinvolgere il DPO, ritenendo sufficienti le indicazioni tecniche e le garanzie fornite dall’azienda oltre al consenso prestato dal personale ATA coinvolto ed anzi alla sollecitazione, da parte dello stesso, circa l’adozione di tale sistema a garanzia di tutti”;

“al personale coinvolto, per consentire di esprimere un consenso libero, è stata garantita la possibilità di usare alternativamente il sistema di rilevazione delle presenze con badge senza associazione dell’impronta. […] Tranne i due Signori [… tra i reclamanti], tutto il personale ATA (34 unità), in servizio presso l’Istituto d’Istruzione Superiore di Tropea, ha prestato il consenso all’integrazione del sistema di rilevazione delle presenze […] Agli atti della scuola sono conservati i consensi sottoscritti dal personale ATA interessato”;

“a seguito della ricezione del reclamo [ossia in data XX, giorno in cui l’Autorità ha trasmesso all’Istituto una richiesta di informazioni ai sensi dell’art. 157 Codice], [… l’Istituto] ha nell’immediatezza sospeso la rilevazione delle presenze con badge abbinato all’impronta digitale. Ad oggi, nonostante le richieste di tutto il personale ATA (tranne le due unità che hanno presentato reclamo) di riattivazione del sistema badge con impronta, sollevate e sollecitate dallo stesso durante le riunioni di avvio anno XX, con la disponibilità di tutto il personale suddetto a prestare richiesta scritta e ulteriore consenso alla riattivazione del sistema, la rilevazione delle presenze in servizio è attestata con il SOLO uso del badge SENZA impronta”.

Quanto, più nello specifico, al funzionamento del sistema di rilevazione delle presenze precedentemente in uso presso l’Istituto, dalla documentazione tecnica trasmessa in allegato alla predetta nota del XX si evince, in particolare, che:

“il funzionamento del lettore di impronte digitali, quale strumento di verifica biometrica comprende 2 fasi principali: A. Registrazione (enrolment): le caratteristiche dell'impronta digitale sono acquisite tramite il lettore del terminale, digitalizzate, elaborate e compresse mediante un algoritmo matematica irreversibile (da non confondersi con il processo di criptografia o crittografia) fino ad ottenerne un modello matematico (template) che, associato al codice identificativo della persona, diviene la base dei successivi confronti o verifiche; B. Verifica (matching): le caratteristiche dell'impronta digitale sono acquisite, digitalizzate, elaborate e compresse in modo identico a quello della fase di registrazione fino ad ottenere un analogo modello matematico. Il confronto tra il modello (template) archiviato relativo al codice di riferimento ed il risultato della lettura determina, in base allo scostamento, il risultato della verifica”;

“nel [predetto] modello […] vengono memorizzati solo dei numeri di riferimento […] e non la caratteristica biometrica vera e propria. Questo rende impossibile risalire dal template all'impronta stessa, rendendo così sicura, in materia di privacy, l'identità dei soggetti registrati”;

“il [predetto] template può essere memorizzato direttamente nella memoria del lettore oppure può essere memorizzato su un badge in dotazione all'utente, in entrambi i casi sono archiviati solo i seguenti dati: codice utente; è un puro codice di riferimento, assimilabile al numero di matricola; modello (template) è un puro numero, assimilabile al codice presente in una banda magnetica di un badge […;] elenco eventi: data/ora, codice utente, indirizzo del terminale ed eventuale codice causale (giustificativo) sono gli unici risultati memorizzati dopo le verifiche operate dal lettore biometrico, dati equivalenti ai dati "classici" di un terminale di gestione presenze”;

“nel lettore biometrico del terminale […] non sono quindi presenti: dati anagrafici dell'utente; immagine dell'impronta digitale dell'utente; dati fisici diretti o deducibili dell'impronta digitale”.

Con nota del XX, l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato all’Istituto, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per aver trattato i dati personali biometrici dei dipendenti amministrativi, tecnici e ausiliari (A.T.A.) al fine di identificarli in modo univoco per rilevarne la presenza in servizio, in maniera non conforme al principio di “liceità, correttezza e trasparenza” nonché in assenza di un idoneo presupposto normativo, in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento.

Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

Con nota del XX, l’Istituto, che non ha richiesto di essere audito, ha presentato una memoria difensiva, dichiarando, in particolare, che:

- “il sistema di rilevazione delle presenze tramite badge abbinato all’impronta digitale, è stato avviato [… dall’Istituto] nel XX”

- “contestualmente [alla sospensione dell’impiego del predetto sistema nel XX], sono state effettuate le operazioni di cancellazione di tutti i dati biometrici acquisiti dal sistema e impostato lo stesso per il funzionamento con il solo badge senza associazione dell’impronta”.

- “ad oggi […] la rilevazione delle presenze in servizio è attestata con il solo uso del badge senza impronta”.

3. Il quadro normativo in materia di protezione dei dati personali.

Con riferimento alla questione prospettata nel reclamo si evidenzia, in via preliminare, che i dati biometrici sono definiti dal Regolamento come “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici” (art. 4, punto 14), del Regolamento) e, laddove intesi a identificare in modo univoco una persona fisica, sono ricompresi tra le categorie “particolari” di dati personali (art. 9 del Regolamento) in ragione della loro delicatezza, derivante dalla stretta e stabile relazione con l’individuo e la sua identità.

Il trattamento di dati biometrici, di regola vietato per effetto del disposto di cui all’art. 9, par. 1, del Regolamento, è consentito esclusivamente al ricorrere di una delle condizioni indicate dell’art. 9, par. 2 del Regolamento e, in ambito lavorativo, solo quando sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), del Regolamento; v. pure, art. 88, par. 1 e cons. 51-53 del Regolamento).

Il quadro normativo vigente prevede inoltre che il trattamento di dati biometrici, per poter essere lecitamente posto in essere, avvenga nel rispetto di “ulteriori condizioni, comprese limitazioni” (cfr. art. 9, par. 4, del Regolamento); a tale disposizione è stata data attuazione, nell’ordinamento nazionale, con l’art. 2-septies (Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute) del Codice (come modificato dal decreto legislativo 10 agosto 2018 n. 101 di adeguamento della normativa nazionale alle disposizioni del Regolamento). La norma prevede che è lecito il trattamento di tali categorie di dati al ricorrere di una delle condizioni di cui all’art. 9, par. 2, del Regolamento “ed in conformità alle misure di garanzia disposte dal Garante”, in relazione a ciascuna categoria dei dati.

Il datore di lavoro, titolare del trattamento, è, in ogni caso, tenuto a rispettare i principi di protezione dei dati personali, tra cui in particolare quelli di “liceità, correttezza e trasparenza”, “minimizzazione” e protezione dei dati “fin dalla progettazione” e “per impostazione predefinita” (artt. 5 e 25 del Regolamento).

4. Esito dell’attività istruttoria.

Dall’accertamento compiuto sulla base degli elementi acquisiti e dei fatti emersi all’esito dell’attività istruttoria, nonché delle successive valutazioni dell’Autorità, risulta accertato che, a partire dal XX e sino alla data del XX, l’Istituto ha fatto uso, presso le proprie sedi, di un sistema di rilevazione delle presenze del personale A.T.A. che richiedeva l’utilizzo delle impronte digitali dei lavoratori che avessero rilasciato il proprio consenso, con ciò dando luogo ad un trattamento dei relativi dati biometrici inteso ad identificare in modo univoco i singoli dipendenti al fine di rilevarne la presenza in servizio nonché nell’ottica di prevenire “episodi di manomissioni, danneggiamenti e atti vandalici” (cfr. nota del XX).

In particolare, è stato accertato che il predetto sistema, elaborando le caratteristiche dell'impronta digitale acquisita, permette di creare un modello matematico che, venendo associato al codice identificativo del singolo interessato, costituisce il termine di raffronto delle successive verifiche all’atto della timbratura dei dipendenti.

Ancorché lo stesso non mantenga traccia dei dati anagrafici dei dipendenti, dell’immagine o di “dati fisici diretti o deducibili” delle relative impronte digitali e, per altro verso, “la "ricostruzione dell'impronta digitale" partendo dal modello non [… sia] possibile, nemmeno conoscendo l'algoritmo di elaborazione” (cfr. nota del XX), si osserva quanto segue.

Le informazioni trattate per il tramite di tale sistema risultano comunque riconducibili ad un codice direttamente identificativo del singolo dipendente, ne consentono o confermano l’identificazione univoca e costituiscono pertanto dati personali biometrici (cfr. art. 4, nn. 1) e 14), del Regolamento).

Ciò premesso, si fa presente che la finalità di rilevazione delle presenze in servizio dei dipendenti, funzionale all’attestazione dell’osservanza dell’orario di lavoro alla sua contabilizzazione, che, in generale, nell’ambito del pubblico impiego, è prevista da un quadro normativo stratificatosi nel tempo (v. ad esempio, art. 22, comma 3 della l. 23.12.1994, n. 724; art. 3 della l. 24.12.2007, n. 244; art. 7 del d.P.R. 1.02.1986, n. 13), è riconducibile nell’ambito di applicazione dell’articolo 9 par. 2, lett. b) del Regolamento poiché implica un trattamento “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro […]” (v. pure art. 88, par. 1, Regolamento).  Tuttavia, l’impiego di sistemi di rilevazione delle presenze che comportano anche il trattamento di dati biometrici richiede, nel sistema del Regolamento e del Codice, un’espressa previsione normativa e specifiche garanzie per i diritti degli interessati (il trattamento è infatti consentito “nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri […] in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”, art. 9, par. 2, lett. b), del Regolamento e cons. 51-53, e “nel rispetto delle misure di garanzia” individuate dal Garante ai sensi dell’art. 9, par. 4, del Regolamento e dell’art. 2-septies del Codice).

Nel contesto lavorativo il trattamento avente a oggetto dati biometrici può essere lecitamente posto in essere solo ove lo stesso trovi il proprio fondamento in una disposizione normativa che possa essere ritenuta base giuridica del trattamento “idonea” anche alla luce dell’assetto delle fonti dell’“ordinamento costituzionale” dello Stato membro (v. considerando 41 del Regolamento e v. anche Corte Cost. sent. n. 271/2005, in base alla quale la disciplina di protezione dei dati personali rientra fra la materia di competenza esclusiva statale riferita all’“ordinamento civile”). Tale disposizione deve, infatti, avere le caratteristiche richieste dalla disciplina di protezione dei dati e soddisfare specifici requisiti, sia in termini di qualità della fonte, contenuti necessari e misure appropriate e specifiche per tutelare i diritti e le libertà degli interessati, sia in termini di proporzionalità dell’intervento regolatorio rispetto alle finalità che si intendono perseguire (art. 6, parr. 2 e 3, lett. b), del Regolamento). Ciò in quanto, la base giuridica del trattamento, per poter essere considerata una valida condizione di liceità del trattamento, deve, tra l’altro, “persegu[ire] un obiettivo di interesse pubblico ed [essere] proporzionato all’obiettivo legittimo perseguito” (art. 6, par. 3, lett. b), del Regolamento).

Al riguardo, si fa presente inoltre che l’art. 2 della l. 19 giugno 2019, n. 56, recante “Interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell’assenteismo”, aveva previsto una generalizzata sostituzione dei sistemi di rilevazione automatica delle presenze con sistemi di rilevazione di dati biometrici unitamente all’impiego di sistemi di videosorveglianza prevedendo che, “ai fini della verifica dell’osservanza dell’orario di lavoro”, le amministrazioni pubbliche - individuate ai sensi dell’art. 1, comma 2, del d.lgs. n. 165/2001, ad esclusione del “personale in regime di diritto pubblico” (cfr. art. 3, comma 2, d.lgs. n. 165/2001), e quello sottoposto alla disciplina del lavoro agile di cui all’articolo 18 della legge 22 maggio 2017, n. 81 - “introducono sistemi di identificazione biometrica e di videosorveglianza in sostituzione dei diversi sistemi di rilevazione automatica attualmente in uso” ma prevede anche che le “modalità attuative” della norma – nel rispetto dell’art. 9 del Regolamento e delle misure di garanzia definite dal Garante ai sensi dell’art. 2-septies del Codice – siano individuate con d.P.C.M., su proposta del Ministro della funzione pubblica, previa intesa con la conferenza unificata (stato regioni e autonomie locali) e “previo parere del Garante ai sensi dell’art. 154 del Codice sulle modalità del trattamento dei dati biometrici”.

Nell’esercizio dei propri poteri consultivi sugli atti normativi (artt. 36, par. 4 e 58, par. 3 del Regolamento nonché art. 154 del Codice), il Garante aveva, a suo tempo, segnalato al legislatore nazionale le criticità della norma evidenziando, in particolare, “l’eccedenza rispetto alle finalità che si intendono perseguire, anche sotto il profilo della gradualità delle misure limitative che possono essere adottate nei confronti dei lavoratori” (cfr. provv. 11 ottobre 2018, n. 464, doc. web n. 9051774) e - confermando quanto già rilevato nel corso delle audizioni dinanzi alle Commissioni parlamentari competenti (audizioni presso le Commissioni riunite I e XI, Affari Costituzionali e Lavoro, della Camera dei Deputati il 6 febbraio 2019, doc. web n. 9080870) -, ha ribadito, anche in relazione allo schema di regolamento di attuazione, peraltro mai adottato, che “non può ritenersi in alcun modo conforme al canone di proporzionalità- come declinato dalla giurisprudenza europea e interna– l’ipotizzata introduzione sistematica, generalizzata e indifferenziata per tutte le pubbliche amministrazioni di sistemi di rilevazione biometrica delle presenze, in ragione dei vincoli posti dall’ordinamento europeo sul punto, a motivo dell’invasività di tali forme di verifica e delle implicazioni derivanti dalla particolare natura del dato” (provv. 19 settembre 2019, n. 167, doc. web n. 9147290).

Le disposizioni che prevedevano l’introduzione di sistemi di rilevazione biometrica delle presenze, in ambito pubblico, contenute nei commi da 1 a 4 dell’art. 2 della l. 19 giugno 2019, n. 56, sono state da ultimo abrogate dalla l. 30 dicembre 2020, n. 178 (c.d. Legge di Bilancio 2021, art. 1, comma 958). 
Per tali ragioni, si evidenzia che, in assenza di specifiche disposizioni che prevedano il trattamento dei dati biometrici per finalità di rilevazione delle presenze e delle relative garanzie, il relativo trattamento non può essere lecitamente effettuato, non sussistendo base giuridica.

In tale quadro, il Garante in numerosi casi ha accertato l’illiceità del trattamento dei dati biometrici dei dipendenti per la finalità di rilevazione delle presenze posto in essere da soggetti pubblici e privati in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento, adottando i conseguenti provvedimenti correttivi e sanzionatori (provv. 15 dicembre 2022, n. 422, doc. web n. 9852776; provv. 15 dicembre 2022, n. 423, doc. web n. 9852800; provv. 14 gennaio 2021, n. 16, doc. web n. 9542071; per analoghe considerazioni in ambito privato, cfr. provv. 22 febbraio 2024, n. 105, 106, 107, 108 e 109, doc. web nn. 9995680, 9995701, 9995741, 9995762, 9995785; provv. 10 novembre 2022, n. 369, doc. web n. 9832838).

Nei menzionati provvedimenti, il Garante ha altresì avuto modo di chiarire come il difetto di base giuridica, in merito al trattamento dei dati biometrici, non possa essere colmato neppure dal consenso dei dipendenti, che l’Istituto ha dichiarato di aver acquisito nel caso di specie, assicurando altresì ai dipendenti che non lo avessero rilasciato la possibilità di attestare la propria presenza in servizio senza conferire a tal fine dati biometrici. Ciò in quanto, alla luce della asimmetria tra le rispettive parti del rapporto di lavoro e la conseguente, eventuale, necessità di accertare, di volta in volta e in concreto, l’effettiva libertà della manifestazione di volontà del dipendente, il consenso non costituisce, di regola, un valido presupposto di liceità per il trattamento dei dati personali in ambito lavorativo, indipendentemente dalla natura pubblica o privata del datore di lavoro (cons. n. 43; art. 4, punto 11), e art. 7, par. 3 e 4, del Regolamento; v., l’orientamento consolidato in sede europea, Gruppo di lavoro "Articolo 29", Parere 2/2017 sul trattamento dei dati sul posto di lavoro, WP 249, p. 7 e 26 e Linee Guida sul consenso ai sensi del Regolamento UE 2016/679- WP 259- del 4 maggio 2020).

Per le ragioni che precedono, deve concludersi che il trattamento dei dati personali biometrici dei dipendenti amministrativi, tecnici e ausiliari (A.T.A.), effettuato dall’Istituto al fine di identificarli in modo univoco per rilevarne la presenza in servizio, è stato posto in essere in maniera non conforme al principio di “liceità, correttezza e trasparenza” nonché in assenza di un idoneo presupposto normativo, in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento

5. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Istituto, per aver effettuato il predetto trattamento in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento.

Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l’importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, le violazioni sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti - atteso che l’Istituto ha dichiarato di aver sospeso l’utilizzo del sistema di rilevazione biometrica delle presenze dei dipendenti A.T.A. nel XX nonché di aver cancellato i dati biometrici precedentemente raccolti - non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Tenuto conto, in particolare, che:

il trattamento, che ha riguardato unicamente i dipendenti A.T.A. (34 persone), ai quali era comunque riconosciuta la possibilità di registrare la propria presenza in servizio attraverso modalità tradizionali che non comportavano il trattamento di dati biometrici (art. 83, par. 2, lett. a), del Regolamento);

il titolare, nel fare affidamento sulle informazioni rese dalla società fornitrice del sistema, ha ritenuto di non consultare il proprio responsabile della protezione dei dati, iniziativa che avrebbe invece consentito allo stesso di avvedersi degli specifici ed elevati rischi per i diritti e le libertà degli interessati coinvolti e di orientare le proprie scelte al riguardo in maniera maggiormente consapevole e, se del caso, diversa (art. 83, par. 2, lett. b), del Regolamento);

il trattamento ha avuto ad oggetto dati biometrici intesi ad identificare in modo univoco gli interessati di cui agli artt. 4, n. 14), del Regolamento, dati che, analogamente a quelli sulla salute e genetici, sono tutelati in maniera particolarmente stringente dal Regolamento e dal Codice (cfr. art. 83, par. 2, lett. g), del Regolamento),

si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia alto (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Ciò premesso, nel tenere presente che, comunque, il titolare è costituito da un istituto scolastico, si ritiene che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le seguenti circostanze attenuanti:

il titolare ha offerto una buona cooperazione con l’Autorità nel corso dell’istruttoria, avendo, peraltro, fornito tempestiva comunicazione delle iniziative intraprese per porre rimedio alla violazione (art. 83, par. 2, lett. f), del Regolamento);

non risultano precedenti violazioni pertinenti commesse dall’Istituto (art. 83, par. 2, lett. e), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 4.000,00 (quattromila/00) per la violazione degli artt. 5, 6 e 9 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione della particolare natura dei dati personali oggetto di trattamento e dei connessi rischi per gli interessati nel contesto lavorativo.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dall’Istituto di Istruzione Superiore “P. Galluppi” Tropea per violazione degli artt. 5, 6 e 9 del Regolamento, nei termini di cui in motivazione;

ORDINA

all’Istituto di Istruzione Superiore “P. Galluppi” Tropea in persona del legale rappresentante pro-tempore, con sede legale in viale Coniugi Crigna snc - 89861 Tropea (VV), C.F. 96012510796, di pagare la somma di euro 4.000,00 (quattromila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al predetto Istituto, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 4.000,00 (quattromila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 27 marzo 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei

n° 2
Area: Normativa

1. Per gli anni scolastici 2024/2025 e 2025/2026 sono istituiti, in forma sperimentale, i Nuovi giochi della gioventù, di seguito denominati «Giochi», promossi e organizzati dal Ministero dell'istruzione e del merito, di concerto con il Dipartimento per lo sport e con il Dipartimento per le politiche in favore delle persone con disabilità della Presidenza del Consiglio dei ministri, anche avvalendosi della società Sport e salute Spa, sentiti le regioni, le province autonome di Trento e di Bolzano e gli enti locali, nonché il Comitato olimpico nazionale italiano (CONI) e il Comitato italiano paralimpico (CIP).

2. Possono partecipare ai Giochi gli studenti, regolarmente iscritti e frequentanti, delle scuole statali e paritarie, primarie e secondarie. A parità di possesso dei requisiti richiesti dal decreto di cui al comma 4, è prevista una riserva nella partecipazione ai Giochi a favore degli studenti che abbiano regolarmente frequentato le attività sportive di cui all'articolo 4, favorendo un'equa rappresentanza di genere. La verifica della regolarità della frequenza delle suddette attività è riservata al dirigente scolastico o a un suo delegato. Le condizioni per la partecipazione ai Giochi degli studenti che non abbiano aderito alle attività sportive di cui all'articolo 4 sono disciplinate dal decreto di cui al comma 4.

3. La partecipazione ai Giochi avviene a titolo individuale e di classe, sulla base delle indicazioni e dei criteri di selezione dettati dall'istituto scolastico di appartenenza.

4. Con decreto di natura non regolamentare del Ministro dell'istruzione e del merito, di concerto con le Autorità politiche delegate in materia di sport e in materia di disabilità, entro tre mesi dalla data di entrata in vigore della presente legge, sono stabiliti i criteri generali per lo svolgimento dei Giochi e le modalità di partecipazione degli studenti ai medesimi, prevedendo per gli studenti con disabilità la partecipazione sia a gare integrate sia a gare appositamente dedicate all'interno della medesima manifestazione, nonché una sezione dedicata a sport di squadra dove studenti con disabilità e normodotati possono giocare insieme, inclusi il sitting volley, il baskin e il rafroball.

5. La Commissione nazionale di cui all'articolo 3 sovrintende alla redazione e alla tenuta dell'annuario dei Giochi, ove sono riportati i nominativi degli studenti della scuola secondaria che abbiano raggiunto il podio in una disciplina nella fase nazionale dei Giochi e i risultati sportivi conseguiti per disciplina.

6. Al termine della fase nazionale dei Giochi, è prevista la cerimonia di consegna dei diplomi d'onore agli studenti di cui al comma 5.

27/02/2025 n° 117
Area: Prassi, Circolari, Note

23/10/2014 n° 474
Area: Prassi, Circolari, Note

29/09/2025 n° 1
Area: Prassi, Circolari, Note

MINISTERO DEL LAVORO E DELLE POTICHE SOCIALI

Dipartimento per le politiche del lavoro, previdenziali,
assicurative e per la salute e la sicurezza nei luoghi di lavoro

Interpello n. 1/2025
Commissione per gli interpelli in materia di salute e sicurezza sul lavoro
(Articolo 12 del decreto legislativo 9 aprile 2008, n. 81)

Oggetto: Interpello ai sensi dell'articolo 12 del d.lgs. n. 81/2008 e successive modificazioni “percorsi formativi in materia di sicurezza per i docenti delle scuole di ogni ordine e grado e delle Università”. Seduta della Commissione del 18 settembre 2025.

L’Università degli Studi di Udine ha avanzato istanza di interpello per conoscere il parere di questa Commissione in merito ai: “percorsi formativi in materia di salute e sicurezza sul lavoro, rivolti al personale docente delle scuole di ogni ordine e grado e al personale docente delle università, fissati dall’art. 37, comma 2 del D. Lgs. 81/2008 e dagli accordi Stato Regioni in vigore (Accordi Stato Regioni 21.12.2011 G.U. Serie Generale n.8 del 11.01.2012 e 07.07.2016 – G.U. 193 del 19.08.2016)”.
In particolare, viene chiesto di chiarire se “il personale docente che svolge mansioni che non li espongano ad un rischio medio o alto può frequentare i corsi individuati per il rischio basso, fatto salvo che comunque i contenuti e la durata della formazione sono subordinati all'esito della valutazione dei rischi effettuata dal datore di lavoro”.
Al riguardo, premesso che:
- L’articolo 37, comma 1, lettera b), del decreto legislativo n. 81 del 9 aprile 2008 sancisce che “Il datore di lavoro assicura che ciascun lavoratore riceva una formazione sufficiente ed adeguata in materia di salute e sicurezza, anche rispetto alle conoscenze linguistiche, con particolare riferimento a: b) rischi riferiti alle mansioni e ai possibili danni e alle conseguenti misure e procedure di prevenzione e protezione caratteristici del settore o comparto di appartenenza dell’azienda”;
- l’accordo, ai sensi dell’articolo 37, comma 2, del decreto legislativo 9 aprile 2008, n. 81, tra il Governo, le regioni e le Province autonome di Trento e di Bolzano, finalizzato alla individuazione della durata e dei contenuti minimi dei percorsi formativi in materia di salute e sicurezza, di cui al medesimo decreto legislativo n. 81 del 2008 - Rep. atti n. 59/CSR del 17 aprile 2025, nelle “Disposizioni finali” ha previsto l’abrogazione dell’ accordo sancito il 21 dicembre 2011 in sede di Conferenza permanente per i rapporti tra il Governo e le Regioni e le Province autonome ai sensi dell’articolo 37, comma 2, del decreto legislativo 9 aprile 2008, n. 81, pubblicato nella Gazzetta Ufficiale n. 8 del 11/01/2012 (Rep 221/CSR) e dell’accordo sancito il 7 luglio 2016 in sede di Conferenza permanente per i rapporti tra il Governo e le Regioni e le Province autonome finalizzato alla individuazione della durata e dei contenuti minimi dei percorsi formativi per i responsabili e gli addetti dei servizi di prevenzione e protezione, ai sensi dell’articolo 32 del decreto legislativo 9 aprile 2008, n. 81 e successive modificazioni, pubblicato nella Gazzetta Ufficiale n. 193 del 19/08/2016 (Rep 128/CSR);
- il citato accordo Stato Regioni - Rep. atti n. 59/CSR del 17 aprile 2025 - nella Parte II, rubricata “Corsi di formazione”, Punto 2.1 “Corso per lavoratori” prevede che: “La formazione specifica deve essere riferita ai rischi individuati sulla base della valutazione del rischio e, quindi, mirare ai rischi specifici dell’attività, incentrandosi sui pericoli e rischi insiti nelle mansioni specifiche e sulle relative conseguenze da prevenire nonché sull’individuazione e la conoscenza delle misure di sicurezza da adottare nello svolgimento delle proprie mansioni e di contesto lavorativo. Con riferimento alla lettera b) del comma 1 e al comma 3 dell’articolo 37 del D.lgs. n. 81/08, la formazione deve (omissis) avere durata minima di 4, 8 o 12 ore, in funzione dei rischi riferiti alle mansioni e ai possibili danni e alle conseguenti misure e procedure di prevenzione e protezione caratteristici del settore o comparto di appartenenza dell’azienda. Tali aspetti e i rischi specifici di cui ai Titoli del D.lgs. n. 81/08 successivi
al I costituiscono oggetto della formazione” e che la durata minima fa riferimento “alla classificazione dei settori di cui all’Allegato IV (Individuazione macrocategorie di rischio e corrispondenze ATECO 2007)”;
- la suddetta tabella codici ATECO 2007 classifica il settore Istruzione (sezione P, codice 85) come attività a rischio medio, per il quale la formazione specifica è dunque della durata di almeno 8 ore;
- il menzionato accordo Stato Regioni - Rep. atti n. 59/CSR del 17 aprile 2025 - prevede nella Parte II, rubricata “Corsi di formazione”, Punto 2.1.1 “Condizioni particolari” che “I lavoratori a prescindere dal settore di appartenenza, che non svolgano mansioni che comportino la loro presenza, anche saltuaria, nei reparti produttivi, possono frequentare i corsi individuati per il rischio basso con le relative modalità di erogazione (omissis). Rimane comunque salvo l’obbligo del datore di lavoro di assicurare la formazione specifica secondo le risultanze della valutazione dei rischi”;
- il citato accordo Stato Regioni - Rep. atti n. 59/CSR del 17 aprile 2025 - prevede nella Parte IV, rubricata “Indicazioni metodologiche per la progettazione, erogazione e monitoraggio dei corsi”, Punto 1.2 “Analisi dei fabbisogni formativi e contesto” che “Nel definire i fabbisogni formativi il soggetto formatore, di concerto con i datori di lavoro, laddove necessario normalmente analizza e definisce (omissis)”;
- l’allegato A dell’accordo 25 luglio 2012 - Accordo tra il Governo, le Regioni e le Province autonome di Trento e di Bolzano, sul documento proposto dal Ministero del lavoro e delle politiche sociali recante «Adeguamento e linee applicative degli accordi ex articolo 34, comma 2 e 37, comma 2 del decreto legislativo 9 aprile 2008, n. 81 e successive modificazioni e integrazioni». (Repertorio atti n. 153 /CSR del 25 luglio 2012) prevedeva che: «L'accordo ex articolo 37 del "testo unico" di salute e sicurezza sul lavoro espone, al punto 4, nella parte denominata "Condizioni particolari", il principio per il quale: "I lavoratori di aziende, a prescindere dal settore di appartenenza, che non svolgano mansioni che comportino la loro presenza, anche saltuaria, nei reparti produttivi, possono frequentare i corsi individuati per il rischio basso". In tal modo viene esplicitato il principio generale in forza del quale la "classificazione" dei lavoratori, nei soli casi in cui esistano in azienda soggetti non esposti a medesime condizioni di rischio, può essere fatta anche tenendo conto delle attività concretamente svolte dai soggetti medesimi, avendo a riferimento quanto nella valutazione dei rischi; ad esempio, i lavoratori di una azienda metallurgica che non frequentino reparti produttivi o i
lavoratori che svolgano semplice attività d'ufficio saranno considerati come lavoratori che svolgano una attività a rischio "basso" e non lavoratori (come gli operai addetti alle attività dei reparti produttivi) che svolgano una attività che richiederebbe i corsi di formazione per il rischio "alto" o "medio". Analogamente, ove la valutazione dei rischi di una azienda la cui classificazione ATECO prevede l’avvio dei lavoratori a corsi a rischio "basso" evidenzi l'esistenza di rischi particolari, tale circostanza determina la necessità di programmare e realizzare corsi adeguati alle effettive condizioni di rischio (quindi, di contenuto corrispondente al rischio "medio" o "alto")»;
- l’interpello n. 11 del 24 ottobre 2013 della Commissione per gli interpelli in materia di salute e sicurezza sul lavoro nel quale veniva esplicitato: «la formazione - che deve essere “sufficiente ed adeguata” - va riferita all’effettiva mansione svolta dal lavoratore, considerata in sede di valutazione dei rischi; pertanto la durata del corso può prescindere dal codice ATECO di appartenenza dell’azienda» la Commissione ritiene che, in considerazione delle premesse sopra citate, il personale docente
che, sulla base della valutazione dei rischi aziendali effettuata dal datore di lavoro, svolga attività lavorativa che non comporti, anche saltuariamente, un rischio medio o alto, può partecipare a corsi di formazione specifica in materia di salute e sicurezza nei luoghi di lavoro progettati per la categoria di rischio basso.

Il Presidente della Commissione
Dott.ssa Maria Teresa Palatucci

(firmato digitalmente)

23/12/2025 n° 51745
Area: Prassi, Circolari, Note

Ministero dell'Istruzione e del Merito

Ufficio Scolastico Regionale per l'Emilia Romagna

Ufficio III - Diritto allo studio, Europa e Scuola. Tecnologie per la didattica. Istruzione non statale

Ufficio IV - Ordinamenti scolastici. Dirigenti scolastici

Ai Dirigenti scolastici e ai Coordinatori didattici
delle Istituzioni scolastiche di ogni ordine e grado
statali e paritarie dell’Emilia-Romagna
per il tramite degli Uffici di Ambito Territoriale

Ai Dirigenti degli Uffici di Ambito Territoriale
dell’Emilia-Romagna

Al Coordinamento tecnico-ispettivo dell’Ufficio
Scolastico Regionale per l’Emilia-Romagna

Al sito internet a mezzo pubblicazione su
http://istruzioneer.gov.it

Oggetto: Aggiornamenti normativi in materia di valutazione e comportamento degli studenti. Attuazione della Legge 1 ottobre 2024, n. 150.

1. Aggiornamento del D.P.R. 24 giugno 1998, n. 249 e del DPR 21 novembre 2007, n. 235, con D.P.R. 8 agosto 2025, n. 134.

Come noto, in attuazione della Legge 1 ottobre 2024, n. 150 “Revisione della disciplina in materia di valutazione delle studentesse e degli studenti, di tutela dell'autorevolezza del personale scolastico nonché di indirizzi scolastici differenziati”, con Decreto del Presidente della Repubblica n. 134/2025 il legislatore è intervenuto sul precedente Decreto n. 249/98 “Statuto delle studentesse e
degli studenti della scuola secondaria”, già integrato e modificato con Decreto n. 235/2007.
Con l’obiettivo di valorizzare la cultura del rispetto e ribadire l’opportunità di assumere comportamenti corretti all’interno delle comunità scolastiche, il recente Decreto ha introdotto modifiche in tema di sanzioni disciplinari, rafforzando la funzione educativa delle stesse e prevedendo nuove modalità di irrogazione delle sanzioni medesime. Nello specifico, in ottica di rafforzamento
della funzione educativa delle sanzioni disciplinari, per l’allontanamento dalle lezioni fino a due giorni è previsto lo svolgimento di attività di approfondimento sulle conseguenze dei comportamenti  scorretti, presso l’istituzione scolastica, e per l’allontanamento di durata superiore ai due giorni si prevede lo svolgimento di attività di cittadinanza solidale a favore della comunità scolastica, presso associazioni o enti del terzo settore inclusi in elenchi predisposti annualmente dagli Uffici Scolastici Regionali. In merito a quest’ultima fattispecie, è stato pubblicato, da parte di questo Ufficio, l’avviso per l’individuazione degli enti di cui sopra, secondo i requisiti e i criteri indicati nella nota del Dipartimento per il sistema educativo di istruzione e formazione A00DPIT del 1 dicembre 2025, prot.6339. La stessa nota prevede che “nelle more della composizione degli elenchi regionali di cui trattasi le attività di cittadinanza attiva e solidale potranno essere svolte a favore della Comunità scolastica”.
Il D.P.R. n. 134 richiede pertanto l’aggiornamento da parte delle Istituzioni scolastiche dei propri Regolamenti disciplinari, prevedendo altresì che nei Patti educativi di corresponsabilità venga esplicitato l’impegno a consentire l’emersione di episodi di bullismo e cyberbullismo, di abuso di alcool, sostanze, e altre forme di dipendenza, così come previsto negli articoli 5-bis e 6 del Decreto, di seguito riportati in stralcio:
- 5-bis (Patto educativo di corresponsabilità)... “1-bis. Nel Patto di cui al comma 1, è incluso l'impegno dell'istituzione scolastica e delle famiglie a collaborare per consentire l'emersione di episodi riconducibili ai fenomeni del bullismo e del cyberbullismo, di situazioni di uso o abuso di alcool o di sostanze stupefacenti, nonché di altre forme di dipendenza.1-ter. Le istituzioni scolastiche integrano il Patto educativo di corresponsabilità, definendo in maniera dettagliata le attività formative e informative che intendono programmare a favore delle studentesse, degli studenti e delle loro famiglie, con particolare riferimento all'uso sicuro e consapevole della rete internet.”
- 6 (Disposizioni transitorie e finali) : “1. I regolamenti delle scuole e la carta dei servizi previsti dalle disposizioni vigenti in materia sono adottati o modificati previa consultazione degli studenti nella scuola secondaria superiore e dei genitori nella
scuola ((secondaria di primo grado)). 1-bis. Le istituzioni scolastiche, nell'ambito della loro autonomia e, comunque, entro il termine di trenta giorni dalla data di entrata in vigore del presente regolamento, adeguano il Regolamento di istituto alle
previsioni di cui all'articolo 4, commi 8-bis, 8-ter, 8-quater, 8-quinquies e 8-sexies.”.

2. Aggiornamento del D.P.R. 22 giugno 2009, n. 122 con D.P.R. 8 agosto 2025, n. 135.

Sempre in attuazione della Legge 1 ottobre 2024, n. 150, con Decreto del Presidente della Repubblica n. 135/2025 è stato novellato il D.P.R. 22 giugno 2009 n. 122 “Regolamento recante valutazione delle studentesse e degli studenti del secondo ciclo di istruzione”. Tale decreto mira a riaffermare il ruolo formativo della scuola non solo negli apprendimenti, ma anche nel
comportamento, sia periodico che finale, rafforzando la valenza educativa del voto comportamentale, stabilendo, tra le altre cose, che anch’esso sia espresso in decimi. Nello specifico, il predetto D.P.R. 22 giugno 2009 n.122- così come novellato- all’art.4 prevede che:

-co.2 “La valutazione periodica e finale del comportamento delle studentesse e degli studenti è espressa in decimi”;

-co.5. “Sono ammessi alla classe successiva gli studenti e le studentesse che in sede di scrutinio finale conseguono un voto di comportamento superiore a sei decimi e, ai sensi dell'articolo 193, comma 1, secondo periodo, del testo unico di cui al decreto
legislativo n. 297 del 1994, una votazione non inferiore a sei decimi in ciascuna disciplina o gruppo di discipline valutate con l'attribuzione di un unico voto secondo l'ordinamento vigente. La valutazione finale degli apprendimenti e del comportamento
dello studente e della studentessa è riferita a ciascun anno scolastico”.
Inoltre, l’art.7 del decreto in parola statuisce che:

-co.1-bis “Il consiglio di classe, in sede di scrutinio finale, attribuisce il voto di comportamento sulla base dell'intero anno scolastico e tenendo conto, in particolar modo, della eventuale commissione di atti violenti o di aggressione nei confronti del
personale scolastico, delle studentesse e degli studenti”;

-co.2 “La valutazione del comportamento con voto inferiore a sei decimi in sede di scrutinio periodico, nonché in sede di scrutinio finale con conseguente non ammissione alla classe successiva, è deliberata dal consiglio di classe nei confronti
della studentessa o dello studente cui sia stata irrogata, nel medesimo anno scolastico, in relazione alla violazione dei doveri di cui al decreto del Presidente della Repubblica 24 giugno 1998, n. 249, una sanzione disciplinare ai sensi dell'articolo 4
del medesimo decreto, per aver commesso reati che violino la dignità e il rispetto della persona umana o arrechino pericoli per l'incolumità altrui o per aver posto in essere comportamenti che configurino mancanze disciplinari gravi e reiterate, anche
con riferimento alle violazioni previste dai regolamenti delle istituzioni scolastiche, o per aver commesso atti violenti o di aggressione nei confronti del personale scolastico e degli studenti”;

-co.2-bis “L'attribuzione di un voto di comportamento inferiore a sei decimi nella valutazione periodica comporta il coinvolgimento della studentessa e dello studente in attività di approfondimento in materia di cittadinanza attiva e solidale, finalizzate alla
comprensione delle ragioni e delle conseguenze dei comportamenti che hanno determinato il voto assegnato”;

-co.2-ter “Fermo restando quanto previsto all'articolo 4, comma 6, per le studentesse e gli studenti che hanno riportato un voto di comportamento pari a sei decimi, il consiglio di classe, in sede di scrutinio finale, sospende il giudizio senza riportare immediatamente un giudizio di ammissione alla classe successiva, assegnando la predisposizione di un elaborato critico in materia di cittadinanza attiva e solidale, da sviluppare su tematiche connesse alle ragioni che hanno determinato il voto di comportamento attribuito. La mancata presentazione dell'elaborato prima della integrazione dello scrutinio finale da parte del consiglio di classe, ovvero l'esito non positivo comporta la non ammissione delle studentesse e degli studenti alla classe successiva”;
-co.3 “la valutazione del comportamento con voto inferiore a sei decimi deve essere motivata con riferimento ai casi individuati nel comma 2 e deve essere verbalizzata in sede di scrutinio periodico e finale.”
Infine, si evidenzia che in tema di Valutazione degli apprendimenti, l’art 4 comma 1-bis del novellato DPR 122/2009 prevede espressamente che anche la valutazione periodica e finale degli apprendimenti per ciascuna delle discipline di studio previste dalle indicazioni nazionali per i licei e dalle Linee guida per gli Istituti tecnici e gli istituti professionali sia espressa in decimi. Al riguardo, si evidenzia che la predetta innovazione regolamentare consolida e ribadisce l’interpretazione delle previgenti disposizioni normative concernenti la valutazione periodica e finale degli apprendimenti: il novellato D.P.R. 22 giugno 2009, n. 122, infatti, riprende quanto già previsto dall’art.7, comma 2 lettera c) del d.lgs. 297/1994 ovvero che il collegio docenti possa deliberare, ai fini della valutazione degli alunni e unitamente per tutte le classi, la suddivisione dell’anno scolastico in due o tre periodi.
Alla luce di quanto sopra richiamato, eventuali mancate suddivisioni dell’anno scolastico in periodi, ovvero valutazioni periodiche non espresse in voti decimali non sarebbero conformi, ad avviso di questo Ufficio, al quadro normativo e regolamentare vigente.

Il Direttore Generale,
Bruno E. Di Palma

(Firmato digitalmente)

13/03/2025 n° 134
Area: Prassi, Circolari, Note

25/09/2025 n° 529
Area: Prassi, Circolari, Note

n° 1
Area: Normativa

1. Al fine di fronteggiare le situazioni di degrado, vulnerabilità sociale e disagio giovanile presenti nel territorio del Comune di Caivano, con decreto del Presidente del Consiglio dei ministri, da adottarsi entro quindici giorni dalla data di entrata in vigore del presente decreto, è nominato un Commissario straordinario con il compito di predisporre e attuare un piano straordinario di interventi infrastrutturali o di riqualificazione funzionale al territorio del predetto comune, prevedendo, laddove occorra, anche una semplificazione per le procedure di concessione di immobili pubblici per fini sociali, con particolare riferimento al sostegno a enti del Terzo settore operanti in ambito artistico e culturale, sociosanitario, sportivo, di contrasto alla povertà educativa e per l'integrazione. Il piano straordinario è predisposto dal Commissario straordinario d'intesa con il Comune di Caivano e con il Dipartimento per le politiche di coesione della Presidenza del Consiglio dei ministri e, per gli interventi di cui al comma 4, sulla base dell'attività istruttoria del Genio militare. Il predetto piano è approvato con delibera del Consiglio dei ministri, con assegnazione delle relative risorse nel limite complessivo di euro 30 milioni, a valere sul Fondo per lo sviluppo e la coesione, periodo di programmazione 2021-2027, di cui all'articolo 1, comma 177, della legge 30 dicembre 2020, n. 178 e in coerenza con le disponibilità finanziarie dello stesso (1).

2. Per la realizzazione degli interventi approvati ai sensi del comma 1 si provvede in deroga a ogni disposizione di legge diversa da quella penale, fatto salvo il rispetto dei principi generali dell'ordinamento, delle disposizioni del codice delle leggi antimafia e delle [relative] misure di prevenzione di cui al decreto legislativo 6 settembre 2011, n. 159, nonché dei vincoli inderogabili derivanti dall'appartenenza all'Unione europea. In relazione agli interventi inseriti nel piano di cui al comma 1, fatto salvo quanto previsto al comma 4, il Commissario straordinario si avvale del supporto tecnico-operativo, ai sensi dell'articolo 10, commi 1 e 2, del decreto-legge 31 maggio 2021, n. 77, convertito, con modificazioni, dalla legge 29 luglio 2021, n. 108, dell'Agenzia nazionale per l'attrazione degli investimenti e lo sviluppo d'impresa - INVITALIA S.p.A., che svolge altresì le funzioni di centrale di committenza ai sensi dell'articolo 63 del codice dei contratti pubblici, di cui al decreto legislativo 31 marzo 2023, n. 36, con oneri posti a carico dello stanziamento previsto dal comma 1, come determinato nella delibera del Consiglio dei ministri, e comunque[,] nel limite massimo del due per cento di detto stanziamento, al netto di quanto previsto dal comma 4 (1).

3. Per l'esercizio dei compiti assegnati, il Commissario straordinario resta in carico un anno, prorogabile di un ulteriore anno, e si avvale di una struttura di supporto posta alle sue dirette dipendenze, costituita con decreto del Presidente del Consiglio dei ministri e che opera sino alla data di cessazione dell'incarico del Commissario straordinario. Alla struttura di supporto è assegnato un contingente massimo di personale pari a cinque unità, di cui una di personale dirigenziale di livello non generale e quattro di personale non dirigenziale, dipendenti di pubbliche amministrazioni centrali e di enti territoriali, previa intesa con le amministrazioni e con gli enti predetti, in possesso delle competenze e dei requisiti di professionalità richiesti per il perseguimento delle finalità e l'esercizio delle funzioni di cui al presente articolo, con esclusione del personale docente, educativo, amministrativo, tecnico e ausiliario delle istituzioni scolastiche. Il personale di cui al secondo periodo, ai sensi dell'articolo 17, comma 14, della legge 15 maggio 1997, n. 127, è collocato fuori ruolo o in posizione di comando, distacco o altro analogo istituto o posizione previsti dai rispettivi ordinamenti, conservando lo stato giuridico e il trattamento economico fondamentale dell'amministrazione di appartenenza. Al personale non dirigenziale della struttura di supporto è riconosciuto il trattamento economico accessorio, ivi compresa l'indennità di amministrazione, del personale non dirigenziale del comparto della Presidenza del Consiglio dei ministri e, con uno o più provvedimenti del Commissario straordinario, può essere riconosciuta la corresponsione di compensi per prestazioni di lavoro straordinario nel limite massimo di trenta ore mensili effettivamente svolte, oltre a quelle già previste dai rispettivi ordinamenti e comunque nel rispetto della disciplina in materia di orario di lavoro, di cui al decreto legislativo 8 aprile 2003, n. 66. All'atto del collocamento fuori ruolo è reso indisponibile, nella dotazione organica dell'amministrazione di provenienza, per tutta la durata del collocamento fuori ruolo, un numero di posti equivalente dal punto di vista finanziario. Con il provvedimento istitutivo della struttura di supporto sono determinate, nei limiti di quanto previsto dal comma 1, le specifiche dotazioni finanziarie e strumentali nonché quelle del personale, anche dirigenziale, di cui al secondo periodo del presente comma, necessarie al funzionamento della medesima struttura.  Per l'esercizio delle proprie funzioni, il Commissario straordinario può avvalersi, altresì, delle strutture delle amministrazioni locali e degli enti territoriali, nonché delle strutture periferiche delle amministrazioni centrali dello Stato. Il Commissario straordinario, per le finalità di cui al comma 1, può altresì avvalersi di un numero massimo di tre esperti di comprovata qualificazione professionale, nominati con proprio provvedimento, cui compete un compenso massimo annuo di euro 50.000 al lordo dei contributi previdenziali e degli oneri fiscali a carico dell'amministrazione per singolo incarico. Il compenso del Commissario straordinario è determinato con il decreto di cui al comma 1 del presente articolo in misura non superiore a quella indicata all'articolo 15, comma 3, del decreto-legge 6 luglio 2011, n. 98, convertito, con modificazioni, dalla legge 15 luglio 2011, n. 111 con oneri a carico delle risorse di cui al comma 1 del presente articolo (1).

4. Il piano straordinario di cui al comma 1 ricomprende anche interventi urgenti per il risanamento, il ripristino, il completamento, l'adeguamento, la ricostruzione e la riqualificazione del centro sportivo ex Delphinia di Caivano e per la realizzazione degli ulteriori interventi strumentali e connessi che interessino il centro sportivo ovvero pertinenze attigue. Per la realizzazione dei predetti interventi, il Commissario straordinario si avvale del supporto tecnico-operativo, ai sensi dell'articolo 10, commi 1 e 2, del decreto-legge 31 maggio 2021, n. 77, convertito, con modificazioni, dalla legge 29 luglio 2021, n. 108, della società Sport e Salute Spa, che svolge altresì le funzioni di centrale di committenza ai sensi dell'articolo 63 del codice di cui al decreto legislativo 31 marzo 2023, n. 36, con oneri posti a carico dello stanziamento previsto dal comma 1, come determinato nella delibera del Consiglio dei ministri, e comunque[,] nel limite massimo del due per cento delle risorse destinate con la citata delibera alla realizzazione degli interventi di cui al primo periodo del presente comma (1).

4-bis. Al fine di sostenere, nell'ambito del piano straordinario di cui al comma 1, interventi per la realizzazione o riqualificazione di infrastrutture culturali, l'autorizzazione di spesa di cui all'articolo 1, comma 337, della legge 28 dicembre 2015, n. 208, è incrementata di 12 milioni di euro per l'anno 2023(2).

4-ter. Agli oneri derivanti dall'attuazione del comma 4-bis, pari a 12 milioni di euro per l'anno 2023, si provvede mediante corrispondente riduzione dello stanziamento del fondo speciale di conto capitale iscritto, ai fini del bilancio triennale 2023-2025, nell'ambito del programma “Fondi di riserva e speciali” della missione “Fondi da ripartire” dello stato di previsione del Ministero dell'economia e delle finanze per l'anno 2023, allo scopo parzialmente utilizzando l'accantonamento relativo al Ministero della cultura. Il Ministro dell'economia e delle finanze è autorizzato ad apportare, con propri decreti, le occorrenti variazioni di bilancio(2).

5. Il Commissario straordinario prevede altresì criteri e modalità per l'affidamento in uso degli impianti del Centro sportivo ex Delphinia di Caivano di cui al comma 4, anche in deroga alle disposizioni vigenti, individuando come prioritari i progetti presentati dai Gruppi sportivi militari e dei corpi civili dello Stato (1).

6. Per le medesime finalità di cui al comma 1, il Ministero dell'università e della ricerca finanzia specifici progetti finalizzati alla costruzione o rigenerazione di edifici e spazi nell'area del Comune di Caivano da destinare ad attività educative e formative, realizzati dalle istituzioni universitarie che hanno sede nella regione Campania. Tali interventi, identificati dal Codice Unico di Progetto (CUP), vengono attuati in raccordo con il Commissario straordinario di cui al comma 1 e per la realizzazione degli stessi si applicano le disposizioni di cui al comma 2, primo periodo (1).

7. Alla copertura degli oneri di cui al comma 6 si provvede a valere sulle risorse del Fondo integrativo speciale per la ricerca (FISR) di cui all'articolo 1, comma 3, del decreto legislativo 5 giugno 1998, n. 204, per un importo pari a cinque milioni di euro per l'anno 2024.

7-bis. Una quota non inferiore a euro 100.000 per l'anno 2024 dell'autorizzazione di spesa di cui all'articolo 1, comma 676, della legge 29 dicembre 2022, n. 197, è destinata, con il decreto di cui al comma 677 del medesimo articolo 1 della legge n. 197 del 2022, al comune di Caivano per l'installazione di sistemi di videosorveglianza finalizzati ad assicurare la tutela della sicurezza dei cittadini, anche apportando le eventuali rimodulazioni delle risorse in via di assegnazione per progetti finanziati a valere sul Programma operativo complementare “Legalità” 2014-2020(2).

8. Al fine di garantire l'incremento della sicurezza urbana ed il controllo del territorio, il Comune di Caivano è autorizzato ad assumere a tempo indeterminato, mediante procedure concorsuali semplificate ai sensi dell'articolo 35-quater, comma 3-bis, del decreto legislativo 30 marzo 2001, n. 165, o mediante scorrimento di graduatorie vigenti di altre amministrazioni, comunque in deroga al previo espletamento delle procedure di cui agli articoli 30 e 34-bis del medesimo decreto legislativo n. 165 del 2001, 15 unità di personale non dirigenziale del corpo della polizia locale (1).

9. Le assunzioni di cui al comma 8 sono autorizzate in deroga ai vincoli assunzionali di cui all'articolo 1, comma 557, della legge 27 dicembre 2006, n. 296, nonché in deroga all'articolo 259, comma 6, del testo unico di cui al decreto legislativo 18 agosto 2000, n. 267 e all'articolo 33, comma 2, del decreto-legge 30 aprile 2019 n. 34, convertito, con modificazioni, dalla legge 28 giugno 2019, n. 58.

10. Agli oneri derivanti dai commi 8 e 9, pari a euro 138.900 per l'anno 2023 e pari ad euro 555.400 annui a decorrere dall'anno 2024, si provvede mediante corrispondente riduzione del fondo di cui all'articolo 1, comma 200, della legge 23 dicembre 2014, n. 190.

10-bis. Al fine di garantire l'attuazione degli obiettivi di inclusione sociale, il comune di Caivano è autorizzato ad assumere a tempo indeterminato, mediante procedure concorsuali semplificate ai sensi dell'articolo 35-quater, comma 3-bis, del decreto legislativo 30 marzo 2001, n. 165, o mediante scorrimento di graduatorie vigenti di altre amministrazioni, comunque in deroga al previo espletamento delle procedure di cui agli articoli 30 e 34-bis del medesimo decreto legislativo n. 165 del 2001, 3 unità di personale non dirigenziale della professionalità di servizio sociale(2).

10-ter. Al fine di facilitare l'inserimento degli studenti nelle scuole e contrastare la dispersione scolastica, il comune di Caivano è altresì autorizzato ad assumere, con le medesime procedure e deroghe di cui al comma 10-bis, 6 unità di personale non dirigenziale della professionalità degli educatori scolastici(2).

10-quater. Le assunzioni di cui ai commi 10-bis e 10-ter sono autorizzate in deroga ai vincoli assunzionali di cui all'articolo 1, comma 557, della legge 27 dicembre 2006, n. 296, nonché in deroga all'articolo 259, comma 6, del testo unico delle leggi sull'ordinamento degli enti locali, di cui al decreto legislativo 18 agosto 2000, n. 267. Ai concorsi per le assunzioni di cui ai predetti commi nonché a quelli di cui al comma 8 del presente articolo provvede il Dipartimento della funzione pubblica della Presidenza del Consiglio dei ministri tramite la Commissione RIPAM(2).

10-quinquies. Agli oneri derivanti dai commi 10bis e 10-ter, pari a euro 64.500 per l'anno 2023 e a euro 409.500 a decorrere dall'anno 2024, si provvede:

a) quanto a euro 64.500 per l'anno 2023, a euro 409.500 per l'anno 2024 e a euro 273.000 a decorrere dall'anno 2025, mediante corrispondente riduzione del Fondo di cui all'articolo 1, comma 200, della legge 23 dicembre 2014, n. 190;

b) quanto a euro 136.500 a decorrere dall'anno 2025, mediante corrispondente riduzione del fondo di cui all'articolo 1, comma 607, della legge 30 dicembre 2021, n. 234(2).

10-sexies. Il Ministro per la famiglia, la natalità e le pari opportunità, nell'ambito delle azioni predisposte con il Piano strategico nazionale contro la violenza nei confronti delle donne e la violenza domestica, di cui all'articolo 5 del decreto-legge 14 agosto 2013, n. 93, convertito, con modificazioni, dalla legge 15 ottobre 2013, n. 119, promuove il potenziamento della rete territoriale antiviolenza nel comune di Caivano, ferme restando le competenze della regione Campania, avvalendosi delle risorse già previste a legislazione vigente(2).

(1) Comma così modificato in sede di conversione dalla legge 159/2023 in vigore dal 15 novembre 2023.

(2) Comma aggiunto in sede di conversione dalla legge 159/2023 in vigore dal 15 novembre 2023.

n° 1
Area: Normativa

1. Al fine di incentivare gli investimenti pubblici nel settore delle infrastrutture e dei servizi pubblici, nonche' al fine di far fronte alle ricadute economiche negative a seguito delle misure di contenimento e dell'emergenza sanitaria globale del COVID-19, in deroga agli articoli 36, comma 2, e 157, comma 2, del decreto legislativo 18 aprile 2016, n. 50, recante Codice dei contratti pubblici, si applicano le procedure di affidamento di cui ai commi 2, 3 e 4, qualora la determina a contrarre o altro atto di avvio del procedimento equivalente sia adottato entro il 31 dicembre 2021. In tali casi, salve le ipotesi in cui la procedura sia sospesa per effetto di provvedimenti dell'autorita' giudiziaria, l'aggiudicazione o l'individuazione definitiva del contraente avviene entro il termine di due mesi dalla data di adozione dell'atto di avvio del procedimento, aumentati a quattro mesi nei casi di cui al comma 2, lettera b). Il mancato rispetto dei termini di cui al secondo periodo, la mancata tempestiva stipulazione del contratto e il tardivo avvio dell'esecuzione dello stesso possono essere valutati ai fini della responsabilita' del responsabile unico del procedimento per danno erariale e, qualora imputabili all'operatore economico, costituiscono causa di esclusione dell'operatore dalla procedura o di risoluzione del contratto per inadempimento che viene senza indugio dichiarata dalla stazione appaltante e opera di diritto (1).

2. Fermo quanto previsto dagli articoli 37 e 38 del decreto legislativo n. 50 del 2016, le stazioni appaltanti procedono all'affidamento delle attivita' di esecuzione di lavori, servizi e forniture, nonche' dei servizi di ingegneria e architettura, inclusa l'attivita' di progettazione, di importo inferiore alle soglie di cui all'articolo 35 del decreto legislativo n. 50 del 2016 secondo le seguenti modalita':

a) affidamento diretto per lavori di importo inferiore a 150.000 euro e per servizi e forniture, ivi compresi i servizi di ingegneria e architettura e l'attivita' di progettazione, di importo inferiore a 75.000 euro (2);

b) procedura negoziata, senza bando, di cui all'articolo 63 del decreto legislativo n. 50 del 2016, previa consultazione di almeno cinque operatori economici, ove esistenti, nel rispetto di un criterio di rotazione degli inviti, che tenga conto anche di una diversa dislocazione territoriale delle imprese invitate, individuati in base ad indagini di mercato o tramite elenchi di operatori economici, per l'affidamento di servizi e forniture, ivi compresi i servizi di ingegneria e architettura e l'attivita' di progettazione, di importo pari o superiore a 75.000 euro e fino alle soglie di cui all'articolo 35 del decreto legislativo n. 50 del 2016 e di lavori di importo pari o superiore a 150.000 euro e inferiore a 350.000 euro, ovvero di almeno dieci operatori per lavori di importo pari o superiore a 350.000 euro e inferiore a un milione di euro, ovvero di almeno quindici operatori per lavori di importo pari o superiore a un milione di euro e fino alle soglie di cui all'articolo 35 del decreto legislativo n. 50 del 2016. Le stazioni appaltanti danno evidenza dell'avvio delle procedure negoziate di cui alla presente lettera tramite pubblicazione di un avviso nei rispettivi siti internet istituzionali.L'avviso sui risultati della procedura di affidamento, la cui pubblicazione nel caso di cui alla lettera a) non e' obbligatoria per affidamenti inferiori ad euro 40.000, contiene anche l'indicazione dei soggetti invitati (2).

3. Gli affidamenti diretti possono essere realizzati tramite determina a contrarre, o atto equivalente, che contenga gli elementi descritti nell'articolo 32, comma 2, del decreto legislativo n. 50 del 2016. Per gli affidamenti di cui al comma 2, lettera b), le stazioni appaltanti, fermo restando quanto previsto dall'articolo 95, comma 3, del decreto legislativo 18 aprile 2016, n. 50, nel rispetto dei principi di trasparenza, di non discriminazione e di parita' di trattamento, procedono, a loro scelta, all'aggiudicazione dei relativi appalti, sulla base del criterio dell'offerta economicamente piu' vantaggiosa ovvero del prezzo piu' basso. Nel caso di aggiudicazione con il criterio del prezzo piu' basso, le stazioni appaltanti procedono all'esclusione automatica dalla gara delle offerte che presentano una percentuale di ribasso pari o superiore alla soglia di anomalia individuata ai sensi dell'articolo 97, commi 2, 2-bis e 2-ter, del decreto legislativo n. 50 del 2016, anche qualora il numero delle offerte ammesse sia pari o superiore a cinque (1).

4. Per le modalita' di affidamento di cui al presente articolo la stazione appaltante non richiede le garanzie provvisorie di cui all'articolo 93 del decreto legislativo n. 50 del 2016, salvo che, in considerazione della tipologia e specificita' della singola procedura, ricorrano particolari esigenze che ne giustifichino la richiesta, che la stazione appaltante indica nell'avviso di indizione della gara o in altro atto equivalente. Nel caso in cui sia richiesta la garanzia provvisoria, il relativo ammontare e' dimezzato rispetto a quello previsto dal medesimo articolo 93.

5. Le disposizioni del presente articolo si applicano anche alle procedure per l'affidamento dei servizi di organizzazione, gestione e svolgimento delle prove dei concorsi pubblici di cui agli articoli 247 e 249 del decreto-legge 19 maggio 2020, n. 34, convertito, con modificazioni, dalla legge 17 luglio 2020, n. 77, di seguito citato anche come "decreto-legge 19 maggio 2020, n. 34", fino all'importo di cui alla lettera d), comma 1, dell'articolo 35 del decreto legislativo 18 aprile 2016, n. 50 (1).

5-bis. All'articolo 36, comma 2, lettera a), del decreto legislativo 18 aprile 2016, n. 50, sono aggiunte, in fine, le seguenti parole: ". La pubblicazione dell'avviso sui risultati della procedura di affidamento non e' obbligatoria" (3).

5-ter. Al fine di incentivare e semplificare l'accesso delle microimprese, piccole e medie imprese, come definite nella raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, alla liquidita' per far fronte alle ricadute economiche negative a seguito delle misure di contenimento dell'emergenza sanitaria globale da COVID-19, le disposizioni del presente articolo si applicano anche alle procedure per l'affidamento, ai sensi dell'articolo 112, comma 5, lettera b), del testo unico di cui al decreto legislativo 1° settembre 1993, n. 385, della gestione di fondi pubblici europei, nazionali, regionali e camerali diretti a sostenere l'accesso al credito delle imprese, fino agli importi di cui al comma 1 dell'articolo 35 del decreto legislativo 18 aprile 2016, n. 50 (3).

(1) Comma così modificato in sede di conversione dalla legge n. 120/2020, con effetto a decorrere dal 15 settembre 2020.

(2) Lettera così modificata in sede di conversione dalla legge n. 120/2020, con effetto a decorrere dal 15 settembre 2020.

(3) Comma aggiunto in sede di conversione dalla legge n. 120/2020, con effetto a decorrere dal 15 settembre 2020.

12/12/2024 n° 767
Area: Prassi, Circolari, Note