Casi & Pareri

Sentenza 17/02/2025 n° 4077
Area: Giurisprudenza

E' legittimo, ai sensi dell'art. 55-quater comma 1 lettera b) del D.Lgs. n. 165/2001, il licenziamento di un docente per i seguenti comportamenti: a) assenza ingiustificata dal servizio per 55 giornate consecutive; b) assenza ingiustificata dal servizio nei giorni degli scrutini (2 giorni di assenza ingiustificata); c) assenza ingiustificata dagli esami di Stato, quale membro interno di commissione (7 giorni di assenza ingiustificata); d) assenza ingiustificata dal collegio dei docenti con modalità online. ( Nel caso di specie la Cassazione ha confermato la sentenza della Corte di Appello che aveva escluso che il ritardo della Dirigente Scolastica nel segnalare l'assenza ingiustificata della docente all'Ufficio Scolastico Regionale avesse invalidato il procedimento disciplinare. In assenza di dati idonei ad attribuire al temporaneo silenzio della Dirigente Scolastica il significato di manifestazione implicita della volontà di ritenere legittima la mancata partecipazione della docente alle attività dell'Istituto cui era assegnata, il giudice di appello ha in particolare rilevato che difettava il riscontro sul piano fattuale del legittimo affidamento della docente sull'irrilevanza disciplinare della sua condotta o sulla scarsa gravità della medesima; ha per contro evidenziato che risultavano provato che erano rimasti senza esito i numerosi contatti telefonici tra la Dirigente e la Segreteria amministrativa della Scuola e la docente più volte sollecitata ad attivarsi per poter svolgere l'attività didattica a favore degli studenti e partecipare alle altre attività istituzionali dovute o almeno a giustificare la sua assenza).

Sentenza 08/12/2025 n° 219
Area: Giurisprudenza

L’irrogazione della sanzione dell’avvertimento scritto nei confronti di un docente rientra nelle attribuzioni dell’Ufficio competente per i procedimenti disciplinari (La decisione non sembra condivisibile in quanto motiva con riferimento al vigente CCNL- applicabile al personale A.T.A.- e non considera il disposto del comma 9-quater del D.Lgs n.165/2001. L’amministrazione ha proposto appello).

Sentenza 23/01/2023
Area: Giurisprudenza

La legge di stabilità per il 2013 (l. n. 228 del 2012), all’art. 1, detta disposizioni specifiche che consentono di ritenere superato il meccanismo di fruizione – nel periodo di svolgimento delle attività didattiche – delle ferie “convertibili” in permessi disciplinato dal contratto collettivo. Ed infatti: A) il comma 54 dell’art. 1 cit. stabilisce: «Il personale docente di tutti i gradi di istruzione fruisce delle ferie nei giorni di sospensione delle lezioni definiti dai calendari scolastici regionali, ad esclusione di quelli de-stinati agli scrutini, agli esami di Stato ed alle attività valutative. Durante la rimanente parte dell’anno la fruizione delle ferie è consentita per un periodo non superiore a sei giornate lavorative subordinatamente alla possibilità di sostituire il personale che se ne avvale senza che vengano a determinarsi oneri aggiuntivi per la finanza pubblica»; B) il successivo comma 56, a sua volta, prevede: «Le disposizioni di cui ai commi 54 e 55 non possono essere derogate dai contratti collettivi di lavoro. Le clausole contrattuali contrastanti sono disapplicate dal 1° settembre 2013». Orbene, tra le “clausole contrastanti” suscettibili di disapplicazione ex lege rientra indubbiamente quella contenuta nell’art. 13, comma 9, del CCNL del 2007, che consentiva al dipendente, per motivi familiari e personali documentati anche mediante una semplice autocertificazione, di usufruire (oltre che di tre giorni di permesso) fino a sei giorni di ferie nel corso dell’anno scolastico, prescindendo dalle condizioni previste dall’art. 15 dello stesso contratto, ossia a indipendentemente dalla possibilità di sostituzione del docente e senza oneri aggiuntivi per la finanza pubblica. A tale interpretazione deve pervenirsi in aderenza al chiaro disposto normativo della citata legge di stabilità per il 2013, la quale non consente più la distinzione tra ferie per motivi personali e/o familiari e ferie in senso stretto ai fini della fruizione delle stesse durante il periodo dedicato alle attività didattiche, ma subordina in ogni caso (con espressa previsione di disapplicazione delle clausole contrattuali contrarie) la fruizione delle ferie durante il periodo delle lezioni, degli scrutini, degli esami di Stato e delle attività valutative, alla condizione che sia possibile sostituire il personale che se ne avvale e comunque senza che vengano a determinarsi oneri aggiuntivi per la finanza pubblica. Del resto, se così non fosse, la disciplina di cui ai commi 54 e 56 dell’art. 1 della l. n. 228 del 2012, intesa come riguardante la sola disposizione di cui all’art. 13, comma 9, del CCNL del 2007, non avrebbe avuto alcun senso, dato che già quest’ultima norma contrattuale – come visto – subordina la concessione dei sei giorni di ferie, al di fuori del periodo di sospensione delle attività didattiche, alla condizione che non vengano a determinarsi oneri aggiuntivi per la finanza pubblica. Il godimento di ferie non autorizzate è idoneo a configurare assenza ingiustificata; tuttavia anche in relazione a tale ipotesi vige il principio consolidato secondo il quale la valutazione della proporzionalità tra il comportamento illecito del lavoratore dipendente e la sanzione irrogata sul piano disciplinare costituisce un apprezzamento di fatto che deve essere condotto non in astratto ma con specifico riferimento a tutte le circostanze del caso concreto, inquadrando l’addebito nelle specifiche modalità del rapporto e tenendo conto non solo della natura dei fatto contestato e del suo contenuto obiettivo ed intenzionale, ma anche di tutti gli altri elementi idonei a consentire l’adeguamento della disposizione normativa dell’art. 2119 c.c. alla fattispecie concreta.

Ordinanza 16/09/2025 n° 25414
Area: Giurisprudenza

Nel caso in cui un docente insulti gravemente il Dirigente Scolastico nel corso del collegio docenti, è possibile che sia chiamato a rispondere dei danni causati per la lesione del diritto fondamentale all’onore e alla reputazione anche se il fatto commesso non integra gli estremi del reato di diffamazione (perché il Dirigente Scolastico era presente). L’offesa alla reputazione, infatti, è sufficiente a giustificare il risarcimento del danno in quanto costituisce comunque, a prescindere dalla commissione del reato di diffamazione, un illecito civile se esula dal diritto di critica. Se l’offesa si è mantenuta nell’ambito dell’ambiente scolastico, non è irragionevole fissare il danno risarcibile in 2.500€. Trattandosi di un danno non patrimoniale, la valutazione equitativa è legittima purché il giudice, sulla base di un percorso logico verificabile, individui un parametro quantitativo (monetario) collegato alla natura degli interessi coinvolti (nel caso in questione, il diritto di critica e il diritto all’onore) adeguato alle circostanze fattuali. (In questo caso, la Corte di cassazione ha confermato una sentenza che condannava un docente al risarcimento del danno a favore del Dirigente Scolastico, che egli aveva insultato nel corso di un collegio docenti. Il Dirigente Scolastico aveva avviato un procedimento disciplinare durante il quale il docente aveva inviato all’Ufficio Scolastico Regionale, incaricato di verificare la legittimità del procedimento, delle lettere in cui lamentava con termini ingiuriosi l’operato del Dirigente Scolastico.)

Sentenza 21/07/2025 n° 20455
Area: Giurisprudenza

Il CCNL del comparto scuola differenzia la competenza disciplinare per docenti e personale amministrativo, tecnico e ausiliario. Esso ha infatti rinviato, per i docenti, all'art. 492 del d.lgs. n. 297/1994. Quest’ultimo prevede, tra le sanzioni applicabili ai docenti e al personale direttivo, la sospensione dall'insegnamento o dall'ufficio fino a un mese come sanzione successiva, in ordine di afflittività, alla censura. La competenza disciplinare in tal caso spetta all’Ufficio per i procedimenti disciplinari, e non al Dirigente Scolastico. Non va invece applicata la disciplina del CCNL relativa alla competenza disciplinare nei confronti del personale amministrativo, tecnico e ausiliario, che dopo la censura prevede la sospensione fino a dieci giorni irrogabile dal Dirigente Scolastico. Poiché la competenza disciplinare nei confronti del personale docente, ai sensi dell'art. 55-bis del d.lgs. n. 165/2001, si basa sul massimo della sanzione applicabile e non sulla misura concreta della sanzione che la scuola intenda irrogare, in caso di sospensione di due giorni spetta all’Ufficio per i procedimenti disciplinari, e non al Dirigente Scolastico, sanzionare il comportamento del docente. (Nel caso di specie, la Corte di cassazione ha annullato una sentenza della Corte d’appello di Roma che individuava la competenza disciplinare nei confronti di un docente che era stato sospeso dall’insegnamento per due giorni in capo al Dirigente Scolastico, applicando erroneamente la normativa disciplinare applicabile al personale amministrativo, tecnico e ausiliario anziché quella prevista per il personale docente e direttivo. Il docente aveva contestato animatamente una decisione del Dirigente Scolastico in modo aggressivo e offensivo davanti agli alunni.)

Sentenza 22/05/2025 n° 9897
Area: Giurisprudenza

1. In materia di accesso agli atti, la consegna spontanea da parte dell’Amministrazione dei documenti richiesti dal ricorrente nel corso del giudizio, prima illegittimamente diniegati, rappresenta un’attività amministrativa satisfattiva dell'interesse del ricorrente che determina la cessazione della materia del contendere; con tale pronuncia viene comunque definita la controversia nel merito in quanto viene accertata la pretesa dedotta in giudizio dal ricorrente mediante la stessa attività satisfattiva posta in essere dalla p.a. (vedi: Consiglio di Stato, sez. V, sentenza del 26 gennaio 2024, n. 823). 2. La conseguente palese fondatezza del ricorso determina la soccombenza dell’amministrazione ai fini del regolamento delle spese di lite. Infatti, la consegna dei documenti richiesti mediante istanza di accesso agli atti solamente nel corso del giudizio sull’accesso avviato a seguito del diniego da parte della Pubblica Amministrazione all’ostensione dei documenti è motivo di condanna dell’amministrazione al pagamento delle spese processuali sostenute dal ricorrente. 3. Nel caso di specie, un dipendente scolastico ha presentato istanza di accesso alla documentazione completa di un procedimento disciplinare a suo carico. L’Amministrazione scolastica forniva solo una parte dei documenti richiesti, oscurando porzioni significative di altri atti documenti invocando la tutela della riservatezza di soggetti terzi. Il dipendente ha presentato ricorso al TAR e, solo dopo l’avvio del contenzioso, l’amministrazione ha consegnato integralmente tutta la documentazione. Il TAR ha condannato alle spese processuali la scuola.

Sentenza 17/12/2024 n° 22856
Area: Giurisprudenza

1. In materia di accesso agli atti, non vi è alcuna violazione del diritto di access quando la documentazione richiesta è già stata trasmessa o è comunque conoscibile dall’interessato. 2. Quando i documenti richiesti sono già nella disponibilità del richiedente, l’Amministrazione può legittimamente negare l’accesso, non essendo tenuta a fornire nuovamente atti già noti al destinatario. Nel caso di specie, un docente si vede privato di una supplenza perché non gli viene riconosciuto il punteggio di un titolo e chiede accesso agli atti per ottenere la documentazione utile per dimostrare l’illegittima decurtazione del punteggio nelle graduatorie ATA, che gli aveva impedito la stipula di un contratto, tuttavia la scuola rigetta l'istanza di accesso. Il TAR ha evidenziato che la procedura di valutazione del punteggio del ricorrente era stata condotta sulla base della documentazione già in suo possesso pertanto l’Amministrazione non era rimasta inerte, avendo invece fornito risposta prima della presentazione del ricorso.

Sentenza 07/11/2025 n° 1709
Area: Giurisprudenza

Ai fini della tempestività di una contestazione disciplinare è necessaria una notizia 'circostanziata' dell'illecito ovvero una conoscenza certa, da parte dei titolari dell'azione disciplinare, di tutti gli elementi costitutivi dello stesso. In tema di procedimento disciplinare, ai fini della decorrenza del termine per la contestazione dell'addebito, assume rilievo esclusivamente il momento in cui l'ufficio competente abbia acquisito una 'notizia di infrazione' di contenuto tale da consentire allo stesso di dare, in modo corretto, l'avvio al procedimento mediante la contestazione, la quale può essere ritenuta tardiva solo qualora la P.A. rimanga ingiustificatamente inerte, pur essendo in possesso degli elementi necessari per procedere, sicché il suddetto termine non può decorrere a fronte di una notizia che, per la sua genericità, non consenta la formulazione dell'incolpazione e richieda accertamenti di carattere preliminare volti ad acquisire i dati necessari per circostanziare l'addebito. Pertanto, in tema di pubblico impiego contrattualizzato, ai fini della decorrenza del termine perentorio previsto per la conclusione del procedimento disciplinare dall'acquisizione della notizia dell'infrazione (ex art. 55 bis, comma 4, del d.lgs. n. 165 del 2001), in conformità con il principio del giusto procedimento, come inteso dalla Corte cost. (sentenza n. 310 del 5 novembre 2010), assume rilievo esclusivamente il momento in cui tale acquisizione, da parte dell'ufficio competente regolarmente investito del procedimento, riguardi una "notizia di infrazione" di contenuto tale da consentire allo stesso di dare, in modo corretto, l'avvio al procedimento disciplinare, nelle sue tre fasi fondamentali della contestazione dell'addebito, dell'istruttoria e dell'adozione della sanzione (cfr. Cass. n. 14896/2024 in parte motiva). Il legislatore ha, pertanto, inteso istituire con la c.d. carta docente di cui all'art. 1, comma 121, l. n. 107 del 2015, una prestazione pecuniaria oggetto di un'obbligazione sui generis, perché condizionata dalla destinazione dell'importo monetario solo a specifiche tipologie di acquisti idonee a soddisfare esigenze formative (obbligazione di scopo); rappresenta un abuso dell’istituto l’utilizzo da parte del docente dell’importo stanziato (euro 500,00) per l’acquisto di un bene del tutto estraneo alle esigenze di formazione e aggiornamento, ma – all’evidenza – destinato ad un utilizzo abusivo di carattere personale.) ( Nel caso di specie è stata confermata la legittimità della sanzione disciplinare conservativa della sospensione, con privazione della retribuzione, per giorni quattro irrogata ad un docente per aver utilizzato l’importo dell’incentivo per l’aggiornamento e la formazione, di cui ai commi da 121 a 124 dell’art. 1 della L.107/2015, nelle modalità di erogazione previste dalla Carta elettronica, per l’acquisto diretto di beni non consentiti. Nello specifico, di aver acquistato una smart tv lg 55"uhd” ed estensione garanzia "care" tutti. Il Tribunale ha osservato che soltanto con la ricezione della documentazione in possesso della Guardia di Finanza e, segnatamente di n. 87 cartelle contenenti la descrizione dell’attività svolta per ogni singolo docente nonché i relativi allegati, l’UPD ha avuto notizia dell’infrazione relativa al docente, avendo ricevuto dalla GDF la relazione sulla condotta dello stesso e la relativa documentazione a supporto probatorio).

Sentenza 12/02/2025 n° 75
Area: Giurisprudenza

1. In materia di accesso agli atti, ai fini della sussistenza del presupposto legittimante l’esercizio del diritto di accesso ai documenti della pubblica Amministrazione, devono esistere, al contempo, un interesse giuridicamente rilevante del richiedente, non necessariamente consistente in un interesse legittimo o in un diritto soggettivo, ma giuridicamente tutelato (non potendo identificarsi col generico ed indistinto interesse di ogni cittadino al buon andamento dell'attività amministrativa) ed un rapporto di strumentalità tra tale interesse e la documentazione di cui si chiede l’ostensione (“… un interesse diretto, concreto e attuale, corrispondente ad una situazione giuridicamente tutelata e collegata al documento al quale è chiesto l’accesso”), fermo rimanendo che l’interesse all’accesso va valutato in astratto, senza che possa essere operato, con riferimento al caso specifico, alcun apprezzamento in ordine alla fondatezza o all’ammissibilità della domanda giudiziale che gli interessati potrebbero eventualmente proporre sulla base dei documenti acquisiti mediante l’accesso stesso (cfr., da ultimo, Cons. St., Ad. Plen., 18 marzo 2021, n. 4##2387L). 2. Il nesso di strumentalità fra l’interesse all’accesso e la sua rilevanza ai fini della proposizione di un eventuale giudizio, inoltre, va inteso in senso ampio, in quanto la documentazione richiesta deve essere, genericamente, mezzo utile per la difesa dell’interesse giuridicamente rilevante, e non strumento di prova diretta della lesione di tale interesse (Cons. St., sez. V, 7 settembre 2004, n. 5873 e sez. VI, 22 ottobre 2002, n. 5814). 3. L’accesso va in ogni caso garantito qualora sia strumentale e funzionale a qualunque forma di tutela, sia giudiziale che stragiudiziale, anche prima ed indipendentemente dall’effettivo esercizio di un’azione giudiziale. L’art. 24, comma 7, l. n. 241 del 1990##1172T prescrive infatti che “deve comunque essere garantito ai richiedenti l’accesso ai documenti amministrativi la cui conoscenza sia necessaria per curare o per difendere i propri interessi giuridici”. Di talché, allorquando la conoscenza di atti sia necessaria all’esercizio di dette prerogative (che altrimenti non potrebbero esplicarsi, in tutto o in parte), l’interesse alla riservatezza ovvero le ragioni di segretezza, o ancora gli altri, diversi, interessi sottesi ai casi di limitazione o esclusione del diritto di accesso (cfr. artt. 22, co. 3, e 24 co. 1, 2, 3, 5 e 6##1170T), recedono, determinando la riespansione della regola generale costituita dalla ostensibilità degli atti amministrativi. 4. La tutela del diritto di difesa costituisce, in definitiva, baluardo insuperabile, tale da giustificare l’esercizio del diritto di accesso anche in situazioni in cui, ordinariamente, la legge lo esclude, conformemente ai principi generali, anche di valenza sovranazionale, volti a garantire l’equo contemperamento tra le esigenze di conoscenza e di trasparenza (artt. 15 TFUE e 42 Carta UE), quelle di segretezza a protezione dell’esercizio di determinate attività volte a garantire la sicurezza e l’ordine pubblico ovvero la protezione dei dati personali, e il diritto di difesa (in tali termini, T.A.R. Lazio, Sez. Terza Quater, sentenza 22 gennaio 2025 n. 1252). 5. L’accesso disciplinato dal capo V della legge n. 241 del 1990 ha ad oggetto i ‘documenti amministrativi’, nelle tipologie indicate dall’art. 22, co. 1, lett. d) ##1170T, a mente del quale per “documento amministrativo” si intende “ogni rappresentazione grafica, fotocinematografica, elettromagnetica o di qualunque altra specie del contenuto di atti, anche interni o non relativi ad uno specifico procedimento, detenuti da una pubblica amministrazione e concernenti attività di pubblico interesse, indipendentemente dalla natura pubblicistica o privatistica della loro disciplina sostanziale”. Rientrano, dunque, in siffatta nozione gli atti detenuti dall’Amministrazione nella loro materialità che identificano ad esempio statuizioni, accertamenti, intendimenti, pareri, volizioni, valutazioni degli organi pubblici. 6. Nel caso di specie, un insegnante, durante lo svolgimento delle lezioni, è stato vittima di ripetute aggressioni verbali culminate con il lancio di uno zaino, ad opera di un alunno, per le quali ha presentato atto di denuncia querela. Al fine di tutelare adeguatamente i propri interessi in giudizio, civile e penale, il professore ha presentato istanza di accesso per avere l’ostensione di quanto annotato sul registro di classe elettronico nei giorni in cui si sono verificati gli episodi, nonché la copia dei provvedimenti disciplinari eventualmente adottati a carico dell’alunno. La scuola rigettava l’istanza chiedendo che fosse esplicitato in modo incontrovertibile l’interesse che vanta il professore con l’indicazione dei tempi di trattamento dei dati e delle modalità del trattamento degli stessi dati per i quali si richiede l’accesso, nonché gli eventuali destinatari dei dati stessi. Il TAR ha ritenuto che il ricorrente fosse senza titolare di un interesse qualificato all’accesso ai documenti amministrativi ai sensi dell’art. 22, co. 1, lett. b), l. n. 241 del 1990##1170T, afferendo specificamente la documentazione richiesta alla propria prestazione lavorativa alle dipendenze dell’Istituto scolastico. L’interesse alla conoscenza della documentazione richiesta è meritevole di tutela, in quanto qualificabile come interesse strumentale alle dichiarate finalità difensive in relazione alla posizione del ricorrente, che ha sporto denuncia querela nei confronti dell’alunno per la condotta dallo stesso posta in essere, risultando l’accesso alla documentazione funzionale e rilevante ai fini della difesa in giudizio del richiedente l'accesso delle proprie ragioni. La decisione della scuola è illegittima in quanto frappone ostacoli ed oneri al diritto di accesso estranei al perimetro normativo di riferimento, sia nella misura in cui chiede che venga “esplicitato in modo incontrovertibile l’interesse che vanta il professore (essendo tale interesse evidentemente funzionale alla tutela del diritto di difesa) sia perché impone al richiedente “l’indicazione dei tempi di trattamento dei dati e delle modalità del trattamento degli stessi dati per i quali si richiede l’accesso, nonché gli eventuali destinatari dei dati stessi” (trattandosi quest’ultimo di un onere non normativamente previsto in capo al soggetto privato che formula un’istanza ostensiva).

Ordinanza 19/04/2025 n° 10375
Area: Giurisprudenza

E’ inammissibile, in quanto “nuova”, l’eccezione d’incompetenza del dirigente scolastico ad irrogare la sanzione disciplinare della sospensione a un docente non tempestivamente sollevata nel ricorso introduttivo di primo grado (Nel caso di specie, l’ordinanza della Corte non contiene alcun ripensamento rispetto al proprio consolidato orientamento in tema di riparto delle competenze disciplinari tra dirigente scolastico e UPD. Com’è noto, la materia è attualmente regolata dall'art. 55-bis, comma 9 quater, del D.Lgs n. 165/2001, secondo cui, per il personale docente, educativo e A.T.A. delle istituzioni scolastiche ed educative statali, la competenza per i procedimenti disciplinari che prevedono sanzioni fino alla sospensione dal servizio con privazione della retribuzione per dieci giorni spetta al dirigente. Per le infrazioni punibili con sanzioni più gravi, il procedimento disciplinare è di competenza dell'Ufficio competente per i procedimenti disciplinari (UPD). Per il personale ATA, l'applicazione del comma 9 quater non presenta problemi, in quanto il codice disciplinare prevede la sanzione della sospensione fino a dieci giorni. La situazione si complica per il personale docente. Prima e dopo l'entrata in vigore del menzionato comma 9 quater la giurisprudenza ha sempre negato che l'art. 55 bis del D.Lgs n.165/2001 attribuisse al Dirigente Scolastico la competenza di sospendere il docente fino a 10 giorni. Secondo la Suprema Corte, per determinare il riparto di competenza tra le autorità disciplinari occorre attenersi esclusivamente al “massimo edittale” previsto da ciascuna infrazione. Poiché per i docenti non esiste alcuna infrazione punibile nel massimo fino a dieci giorni di sospensione, tale potere non può essere esercitato dal dirigente, ma spetta all’UPD. La violazione del riparto di competenza comporta l'invalidità della sanzione. Il caso affrontato nell’ordinanza in commento ha riguardato un docente che aveva impugnato una sanzione di sospensione dal servizio per sei giorni. Il Tribunale aveva rigettato il ricorso e la Corte d'Appello di Bari aveva respinto l'appello del docente, ritenendo inammissibile l'eccezione di incompetenza dell'organo che aveva adottato la sanzione disciplinare, in quanto tardivamente proposta. La Corte d'Appello aveva comunque ritenuto infondata l'eccezione nel merito, considerando la competenza del dirigente scolastico in forza della norma in esame. Il ricorso per Cassazione del lavoratore denunciava l’invasione delle competenze dell’UPD da parte del dirigente e ciò in quanto la pena massima prevista dagli artt.492 e 494 del D.Lgs. 297/94, è la sospensione dall'insegnamento o dall'ufficio fino ad un mese, mentre non esiste una disposizione che preveda la sospensione per un periodo inferiore. Sennonché l’ordinanza in commento, pur avendo confermato la legittimità della sanzione comminata dal dirigente, si è pronunciata “in rito” (dichiarando inammissibile il ricorso per ragioni processuali) senza esprimersi nel merito sulla questione della competenza del dirigente scolastico ad irrogare la sanzione della sospensione al personale docente. Pertanto, non vi sono ragioni per concludere che la Corte avrebbe mutato indirizzo se il ricorso fosse stato correttamente proposto).

Sentenza 31/08/2025 n° 539
Area: Giurisprudenza

Con la sentenza in commento il Tribunale di PISA ha respinto il ricorso proposto da un docente a tempo indeterminato avente ad oggetto: 1. da un lato l’accertamento della illegittimità di due sanzioni disciplinari comminate dal Dirigente scolastico e 2. dall’altro l’accertamento della “ responsabilità dell’Amministrazione ai sensi degli artt. 52 D.lgs 165/01 nonché artt. 2087, 2043 e 2059 c.c. per aver posto in essere una condot-ta volta a demansionare e/o dequalificare la ricorrente e per l’effetto condannarla al ri-sarcimento di tutti i danni subiti, sia sul profilo patrimoniale che non patrimoniale..” Entrambe le domande sono state respinte: la prima, in considerazione del fatto che l’amministrazione, all’atto della costituzione in giudizio, ha dato prova dei fatti contestati sia allegando le dichiarazioni scritte delle insegnanti presenti al momento del fatto che ha portato all’irrogazione della sanzione della censura (aver esclamato in classe davanti ai bambini e alle colleghe epiteti nei confronti della Dirigente scolastica), sia anche le dichiarazioni dei docenti e il verbale consegnato dai genitori presenti al consiglio di classe che ha portato alla sanzione dell’avvertimento scritto (uso di parole scurrili). La concordanza dei fatti contenuta nelle varie dichiarazioni testimoniali e nel verbale dei genitori inducono a ritenere dimostrati i fatti contestati; tale concordanza, secondo l’orientamento della Cassazione, conferisce alle testimonianze il potere di essere considerati documenti suscettibili di essere liberamente valutati dal giudice come elementi di prova ( Cass. civ 18757/2017); la seconda, in considerazione del fatto che parte ricorrente non abbia dato alcuna dimostrazione degli elementi della fattispecie di responsabilità dedotta in giudizio. La sentenza in commento offre lo spunto per riflettere sui criteri di riparto dell’onere probatorio per il caso di impugnativa di una sanzione disciplinare. A tal proposito è opportuno premettere che il principio, posto dall’art.5 della legge 15 luglio 1966 n. 604, ai sensi del quale “ L'onere della prova della sussistenza della giu-sta causa o del giustificato motivo di licenziamento spetta al datore di lavoro”, è estensibile anche alle sanzioni disciplinari c.d. conservative. In particolare, grava sul datore di lavoro l’onere di provare la sussistenza dei presup-posti di fatto, oggettivi e soggettivi posti a fondamento della sanzione disciplinare; una volta provato il fatto, spetterà al lavoratore che voglia evitare la sanzione la prova della non imputabilità dell’inadempimento. Il datore di lavoro, dunque, deve provare tutti gli elementi costitutivi del potere disci-plinare (fatto, tempestività e analiticità della contestazione, rispetto del principio di proporzionalità), quali presupposti, oggettivi e soggettivi, del potere disciplinare, non potendosi avvantaggiare di una sorta di presunzione di legittimità. Viceversa, quando l’oggetto della causa è l’accertamento del demansionamento, l’onere della prova è in capo al lavoratore ricorrente.

Sentenza 17/10/2024 n° 26938
Area: Giurisprudenza

In tema di pubblico impiego contrattualizzato, ai fini della decorrenza del termine perentorio previsto per la conclusione del procedimento disciplinare dall'acquisizione della notizia dell'infrazione (ex art. 55- bis, comma 4, del D.Lgs. n. 165 del 2001), assume rilievo esclusivamente il momento in cui tale acquisizione, da parte dell'ufficio competente regolarmente investito del procedimento, riguardi una "notizia di infrazione" di contenuto tale da consentire allo stesso di dare, in modo corretto, l'avvio al procedimento disciplinare, nelle sue tre fasi fondamentali della contestazione dell'addebito, dell'istruttoria e dell'adozione della sanzione. La contestazione è legittima, sotto il profilo della tempestività, se l’Amministrazione avvia il procedimento entro trenta giorni dalla comunicazione, da parte dell’Autorità Giudiziaria, della sottoposizione agli arresti domiciliari di un suo dipendente. La contestazione dell'addebito ha lo scopo di consentire al lavoratore incolpato l'immediata difesa e deve, conseguentemente, rivestire il carattere della specificità, senza l'osservanza di schemi prestabiliti e rigidi, purché siano fornite al lavoratore le indicazioni necessarie ed essenziali per individuare, nella sua materialità, il fatto o i fatti addebitati. Ne consegue la piena ammissibilità della contestazione "per relationem", mediante il richiamo agli atti del procedimento penale instaurato a carico del lavoratore, per fatti e comportamenti rilevanti anche ai fini disciplinari, ove le accuse formulate in sede penale siano a conoscenza dell'interessato risultando rispettati, anche in tale ipotesi, i principi di correttezza e garanzia del contraddittorio. Affinchè si realizzi la fattispecie di rilievo disciplinare della falsa attestazione di presenza in servizio ai sensi del D.Lgs. n. 165 del 2001, art. 55 quater, lett. a), non è richiesta necessariamente un'attività materiale di alterazione o manomissione del sistema di rilevamento delle presenze in servizio; la condotta deve, però, essere oggettivamente idonea ad indurre in errore il datore di lavoro, sicché anche l'allontanamento dall'ufficio, non accompagnato dalla necessaria timbratura, integra una modalità fraudolenta, diretta a rappresentare una situazione apparente diversa da quella reale. Nel caso di mancata registrazione delle uscite interruttive del servizio, la tipizzazione della sanzione prevista per la falsa attestazione non determina alcun automatismo espulsivo. L’Amministrazione può quindi valutare se comminare il licenziamento o una sanzione meno grave, rimanendo affidata al giudice di merito la verifica della proporzionalità e dell'adeguatezza del provvedimento disciplinare. (Dal punto di vista della tempestività della contestazione degli addebiti e dell’individuazione del momento in cui è pervenuta la “notizia di infrazione” all’Amministrazione procedente, la Corte ha ritenuto corretto aver atteso la conclusione delle indagini sui dipendenti da parte delle competenti autorità. La mera richiesta effettuata dall’Autorità Giudiziaria alla Procura di compiere le indagini non sarebbe stata, infatti, sufficiente a consentire la formulazione di precise contestazioni, non conoscendosi l'esito delle attività di controllo poste in essere. I Giudici hanno, inoltre, riconosciuto come sufficientemente specifica una contestazione contenente richiami alla nota della Procura della Repubblica in quanto quest’ultima era materialmente allegata alla lettera e conteneva una specifica indicazione di tutti gli episodi oggetto di accertamento).

Sentenza 23/07/2025 n° 958
Area: Giurisprudenza

Sussiste l’interesse del docente ad impugnare il provvedimento che dichiara il mancato superamento del primo anno di prova in quanto tale atto, ancorché non determini la risoluzione del rapporto, tuttavia preclude una più tempestiva conferma della immissione in ruolo e riduce le possibilità di superamento della prova. Gli atti del procedimento di valutazione e prova non sono né atti pubblici, né atti amministrativi, ma atti di natura negoziale che si inscrivono tra quelli di gestione del rapporto di lavoro privatizzato; essi non soggiacciono perciò alle regole di cui alla L. 241/90, cosicché non assume rilevanza la mancanza di sottoscrizione, dedotta in relazione alla relazione del docente tutor, di un atto meramente endoprocedimentale, né il vizio di difetto di motivazione. Anche nel rapporto di pubblico impiego privatizzato trovano applicazione i medesimi principi elaborati nel rapporto di lavoro privato in relazione alla tendenziale insindacabilità della valutazione discrezionale dell’esito del periodo di prova, con conseguente esclusione della natura disciplinare del recesso e con l’esonero del datore di lavoro dall’onere di provarne la giustificazione. In questa prospettiva il sindacato del giudice è circoscritto alla mera verifica dell’osservanza dei parametri di valutazione prefissati, non potendo questi sostituire il proprio apprezzamento a quello dell’amministrazione. L'insegnante in prova deve già possedere le competenze professionali necessarie al suo ruolo e il periodo di prova è volto a verificarle, consolidarle ed affinarle, non potendo esigersi né dal docente tutor, né al dirigente scolastico un'attività volta a colmarne le lacune pregresse. L’onere di dimostrare la discriminatorietà della condotta datoriale nel corso dello svolgimento del periodo di prova incombe sul lavoratore,

Sentenza 11/04/2003 n° 1205
Area: Giurisprudenza

Nel caso in esame, un genitore ha chiesto all’I.N.P.S. il rilascio di copia dell'estratto conto previdenziale della figlia e del coniuge, dal quale è separato e ha, inoltre, chiesto di conoscere se la figlia beneficia di reddito di cittadinanza, avendo quest’ultima promosso un giudizio per ottenere il riconoscimento di un assegno di mantenimento. L’I.N.P.S. ha negato l'accesso richiesto, ritenendo prevalente l’esigenza di riservatezza, anche in considerazione della possibilità che l’acquisizione del documento richiesto possa essere disposta dal giudice, avanti al quale la figlia ha domandato il mantenimento. Il T.A.R., tuttavia, ha annullato il diniego impugnato dal genitore, ritenendo innanzitutto lo stesso titolare di un interesse diretto, concreto ed attuale all’accesso, ai sensi dell’art. 22 comma 1 lettera b) della legge n. 241/90, stante la necessaria strumentalità degli atti richiesti rispetto al procedimento instaurato dalla figlia controinteressata. Precisamente, l’accesso documentale difensivo può essere esercitato indipendentemente dalla previsione e dall’esercizio da parte del giudice civile dei poteri processuali di esibizione di documenti amministrativi e, altresì, degli specifici poteri istruttori previsti in materia di famiglia. Pertanto, deve essere riconosciuta la possibilità per il privato di ricorrere agli ordinari strumenti offerti dalla legge n. 241/1990 per ottenere gli stessi dati che il giudice potrebbe intimare all'Amministrazione di consegnare.

Ordinanza 07/03/2025 n° 6168
Area: Giurisprudenza

L’art 15 del CCNL per il personale del comparto istruzione e ricerca 2016/2018 prevede due ipotesi di sospensione cautelare dal servizio: una obbligatoria (comma 1), per i casi nei quali il dipendente sia stato colpito da «misura restrittiva della libertà personale», e una facoltativa (comma 2) «nel caso in cui venga sottoposto a procedimento penale che non comporti la restrizione della libertà personale o questa sia comunque cessata, qualora l’amministrazione disponga, ai sensi dell’art. 55-ter del d.lgs. n. 165/2001, la sospensione del procedimento disciplinare fino al termine di quello penale, ai sensi dell’art. 1». Il presupposto per la sospensione cautelare facoltativa, dunque, si ricava dal combinato della contrattazione collettiva applicabile (art. 15 comma 2) con l’art. 55 ter comma 1 d.lgs. 165/2001 e consiste nell’emanazione, da parte dell’Amministrazione, del provvedimento di sospensione del procedimento disciplinare fino al termine del procedimento penale. In assenza di detto provvedimento o, addirittura, nel caso in cui non sia stato instaurato un procedimento disciplinare, la sospensione cautelare del dipendente è illegittimamente erogata. Il provvedimento di revoca della sospensione cautelare facoltativa del docente, emanato dal DS senza riserve in osservanza della sentenza della Corte d’Appello, non comporta una tacita acquiescenza alla decisione della Corte e non preclude, dunque, l’impugnazione nel successivo grado di giudizio.

Sentenza 02/09/2025 n° 652
Area: Giurisprudenza

1. In materia di accesso agli atti nei pubblici concorsi, le domande e i documenti prodotti dai candidati, i verbali, le schede di valutazione e gli stessi elaborati di un concorso pubblico costituiscono documenti rispetto ai quali deve essere esclusa in radice l’esigenza di riservatezza a tutela dei terzi, posto che i concorrenti, prendendo parte alla selezione, hanno evidentemente acconsentito a misurarsi in una competizione di cui la comparazione dei valori di ciascuno costituisce l'essenza della valutazione. Tali atti, quindi, una volta acquisiti alla procedura, escono dalla sfera personale dei partecipanti. 2. I concorrenti di pubblici concorsi alla cui documentazione si chiede di accedere non assumono, normalmente, neppure la veste di controinteressati in senso tecnico nel giudizio proposto ex art. 25, L. n. 241/1990##1173T; di talché l'omessa integrale intimazione in giudizio dei concorrenti cui si riferiscono gli atti fatti oggetto della richiesta ostensiva non arreca loro alcun significativo pregiudizio non potendo gli stessi opporsi all'ostensione dei documenti richiesti (si veda Tar Campania Napoli ord. 24 febbraio 2025 n. 1523). 3. Nel caso di specie, il TAR non ha ritenuto condivisibile la tesi dall’Amministrazione per cui le istanze, ove richiedono “ogni atto o documento da cui si evincano i criteri di valutazione utilizzati dalla commissione in applicazione a quanto previsto dall’Allegato al bando di concorso…al fine dell’attribuzione dei rispettivi punteggi, verifica e conferma titoli, scheda di valutazione prova orale con griglia di valutazione”, sarebbero eccessivamente generiche ed esplorative. Infatti, parte ricorrente ha individuato la documentazione da richiedere sulla base delle informazioni a sua disposizione, documentazione identificabile peraltro, almeno in parte, con la medesima già rilasciata limitatamente alle prove del ricorrente. 4. L'onere di specificazione dei documenti per i quali si esercita il diritto di accesso non implica la formale indicazione di tutti gli estremi identificativi (organo emanante, numero di protocollo, data di adozione dell'atto), ma può ritenersi assolto anche solo con l'indicazione dell'oggetto e dello scopo proprio dell'atto in questione ove, nei singoli casi di specie, risulti formulata in modo tale da mettere l'Amministrazione in condizione di comprendere la portata ed il contenuto della domanda (Tar Marche 26 aprile 2024 n. 409, Tar Sicilia Catania 30 gennaio 2023, n. 284 ). 5. Nel caso di specie, gli atti sono stati ritenuti sufficientemente individuati mediante la loro attinenza ai criteri di valutazione delle prove scritte e orali. Il partecipante di un concorso non può essere a conoscenza degli atti adottati dalla Commissione per orientare la propria attività. 6. In merito alla verifica dei titoli di riserva da parte di tutti i partecipanti al concorso sia vincitori che idonei, vale la regola per cui l’accesso deve essere limitato alla documentazione effettivamente esistente agli atti della procedura. Nel caso in esame le istanze sembrano richiedere all’Amministrazione un’attività di verifica ex novo senza indicare i documenti esistenti. 7. La domanda di accesso alle certificazioni presentate da idonei e vincitori e alle date di validità delle stesse per le categorie di riserva è specifica e non impone un’attività alla PA. L’accesso a tali documenti è consentito se finalizzata a difendere i propri interessi giuridici. La tutela della riservatezza non può ritenersi tout court ostativa al cd. “accesso difensivo”, ed anzi, salvo il giusto contrappeso con gli interessi cd. “sensibilissimi”, l’accesso difensivo è ritenuto ad essa prevalente. 8. L’art. 24, della L. n. 241 del 1990##1172T consente l’accesso agli atti amministrativi necessari per curare o per difendere i propri interessi giuridici anche laddove essi riguardino dati sensibili, salva l’applicazione dei principi di cui all’art. 60, D. Lgs. n. 196 del 2003##2277T, nel qual caso, il trattamento di atti contenenti dati idonei a rivelare, tra gli altri, lo stato di salute è consentito se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso ai documenti amministrativi è di rango almeno pari ai diritti dell'interessato, ovvero consiste in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile (tra le tante Tar Lazio Roma 6 febbraio 2024, n. 2288) Nel caso in esame, vista la non contestata appartenenza del ricorrente alle categorie di riserva, la documentazione richiesta rientra certamente tra gli atti amministrativi necessari per curare o per difendere i propri interessi giuridici anche laddove essi riguardino dati sensibili. 9. Con riguardo ai limiti all’accesso, negli atti richiesti (con particolare riguardo alle certificazioni eventualmente acquisite dalla PA), sono potenzialmente contenuti anche dati previsti dall'art. 60, comma 1, del D.Lgs. n. 196 del 2003##2277T, nel testo sostituito dall'art. 5, comma 1, lett. b), del DLgs. n. 101 del 2018##3705T, il quale prevede che "quando il trattamento concerne dati genetici, relativi alla salute, alla vita sessuale o all'orientamento sessuale della persona, il trattamento è consentito se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso ai documenti amministrativi, è di rango almeno pari ai diritti dell'interessato, ovvero consiste in un diritto della personalità o in un altro diritto o libertà fondamentale". Tali dati dovranno essere oscurati dall’Amministrazione. 11. La graduatoria degli idonei, essendo esclusa la sua pubblicazione per legge, si presenta come un documento non esistente, che deve essere formato dall’Amministrazione in risposta all’istanza e, quindi, non accessibile. 12. L’accesso non potrà riguardare tutte le domande e la documentazione dei vincitori e degli idonei, ma solo i vincitori e gli idonei con un punteggio uguale o superiore al ricorrente, non essendo individuabile un interesse del ricorrente medesimo ad accedere alle domande dei soggetti idonei con un punteggio inferiore.

Sentenza 21/11/2025 n° 20822
Area: Giurisprudenza

La motivazione delle valutazioni espresse dalla Commissione in sede di esame di Stato risulta idoneamente esplicitata attraverso le griglie adottate – conformi ai modelli Ministeriali - le quali, mediante indicatori e descrittori riferiti a specifici livelli di competenza, offrono una chiara rappresentazione del giudizio attribuito. In assenza di allegazioni specifiche in ordine a travisamenti o incoerenze nella compilazione, il punteggio numerico espresso all’esito della valutazione sintetizza in modo legittimo e sufficiente il giudizio tecnico discrezionale della Commissione. Né la mancata verbalizzazione dettagliata del dibattito interno equivale a difetto di collegialità della deliberazione. Parimenti, quanto al colloquio orale e alla presunta omissione delle competenze maturante nei PCTO e in educazione civica, l’assenza di una verbalizzazione separata delle singole componenti non equivale, di per sé, a omessa trattazione, nè parte ricorrente ha allegato elementi oggettivi idonei a provare che i temi indicati non siano stati affrontati. Infondata è altresì la doglianza sulla presunta brevità del tempo dedicato alla correzione delle prove scritte posto che non è prevista una durata minima o predeterminata, ma è rimessa alla sottocommissione la determinazione del tempo ritenuto congruo e il ricorrente non ha offerto elementi idonei a dimostrare una carenza nell’iter valutativo. Infine, l’eventuale scostamento tra il rendimento scolastico annuale e l’esito finale dell’esame di Stato non integra, di per sé, vizio del procedimento, poiché l’esame di Stato ha natura autonoma rispetto alla valutazione periodica, avendo finalità certificative e non solo confermative e i voti riportati nel corso dell’anno non vincolano la valutazione delle prove d’esame, ma concorrono esclusivamente alla determinazione del credito scolastico. (Il Tar Lazio ricorda che le valutazioni espresse in sede di esame di Stato rientrano nell’ambito della discrezionalità tecnica qualificata, affidata in via esclusiva alla competenza della Commissione esaminatrice, e, pur se soggette al rispetto delle regole procedimentali, sono insindacabili nel merito salvo che nei limiti della manifesta illogicità, dell’errore di fatto, del travisamento o dell’evidente violazione delle norme regolatrici del procedimento. Nel caso di specie, valutate tutte le censure mosse, il giudizio finale appare il risultato coerente di un processo valutativo conforme ai criteri normativi e amministrativi vigenti, correttamente documentato e privo di elementi sintomatici di irregolarità sostanziale.)

Sentenza 30/07/2025 n° 630
Area: Giurisprudenza

Il provvedimento che irroga alla studentessa sorpresa ad utilizzare un telefono cellulare durante la prima prova scritta l’esclusione definitiva da tutte le prove dell’esame di Stato è compatibile con la vigente normativa – in specie l’art. 95, comma 3, R.D. 653/1925, l’art. 12 comma 4 del d.lgs. 62/2017 e l’art. 13 del d.P.R. 487/1994, ritenuto applicabile anche agli esami di Stato – e tale sanzione risulta giustificata e proporzionata. Dal punto di vista fattuale è integrata la fattispecie concreta prevista dalla norma sanzionatoria, che si limita a punire l’utilizzo dello smartphone, sicuramente integrato anche dal maneggiamento di tale dispositivo. Dal verbale risulta, inoltre, che la presidente della commissione, prima dell’avvio delle prove, aveva avvisato gli studenti dell’assoluto divieto di utilizzo dei cellulari e di qualsiasi altro dispositivo elettronico, pena l’esclusione da tutte le prove, tanto che tutti i candidati, compresa la ricorrente, avevano consegnato ciascuno il proprio cellulare. Né possono scriminare in senso favorevole alla studentessa le considerazioni circa il suo brillante curriculum, perché diversamente opinando si finirebbe nella sostanza per giustificare l’utilizzo dei dispositivi elettronici esclusivamente da parte dei candidati più preparati. Inoltre, configurandosi la sanzione dell’esclusione quale atto del tutto vincolato, eventuali vizi puramente formali non potrebbero comportare ex art. 21-octies comma 2 l. 241/1990 l’annullamento di un atto che, comunque, non avrebbe potuto avere un contenuto diverso da quello in concreto adottato. Infine, non ha pregio la censura in ordine alla mancata valutazione della patologia ansiosa di cui soffrirebbe la studentessa, ma mai portata a conoscenza della scuola, in tempo utile per predisporre misure compensative, né della commissione d’esame ai fini dell’irrogazione della sanzione. Se infatti le difficoltà emotive della studentessa non venivano segnalate in tempo per predisporre eventuali misure compensative, non possono giustificare a posteriori una grave infrazione disciplinare al cui rispetto tutti gli studenti erano stati più volte richiamati, costituendo il senso di responsabilità e il rispetto delle regole una componente importante della maturità personale anche di uno studente. (Nel caso di specie, la studentessa prima dell’avvio della prima prova scritta aveva consegnato il proprio cellulare alla commissione, ma aveva introdotto in aula un secondo telefono che aveva poi utilizzato nel corso della prova. In via cautelare la candidata veniva ammessa con riserva alla sessione di prove scritte suppletive dell’esame di Stato, esame poi superato con la votazione di 81/100. Tuttavia, la circostanza che la ricorrente abbia potuto svolgere le prove in base alla favorevole misura cautelare, spiega il TAR Umbria, non costituisce una diversa e successiva determinazione dell’Amministrazione idonea a superare l’originario provvedimento lesivo, ma rende i successivi provvedimenti – inscindibilmente connessi al con decisione cautelare - soggetti a seguire la sorte della sentenza definitiva. Sentenza confermata da Consiglio di Stato, Sez. VII, sentenza n. 7341/2025##3459L.)

Sentenza 06/03/2025 n° 658
Area: Giurisprudenza

Non appare affatto contraddittorio o illogico il fatto che uno studente, i cui risultati scolastici curriculari e di ammissione agli esami di maturità siano stati sufficienti, sia risultato poi talmente carente nella prova orale da non superare l’esame di Stato; al contrario, sarebbe illogico negare alla commissione d’esame il potere di emettere un giudizio di insufficienza frutto della sommatoria dei voti relativi alle varie voci di valutazione. Tale apprezzamento è frutto di un’ampia discrezionalità tecnica – insindacabile in sede giurisdizionale salvo i casi di illogicità e contraddittorietà manifeste – che si sostanzia in giudizi analitici formulati in ciascuna materia dai rispettivi docenti, dai quali emerge una globale valutazione del livello di apprendimento e preparazione dell’alunno. Non è illegittimo neppure il diniego frapposto dall’Amministrazione alla richiesta della ricorrente, avanzata il giorno dopo l’orale, di ripetere la prova andata male a causa di un attacco di panico, come attestato dalla certificazione medica allegata. Tale diniego, infatti, appare atto rigidamente vincolato ed adottato dalla commissione in conformità alle disposizioni regolamentari in ordine all’organizzazione e alle modalità di svolgimento dell’esame di Stato nonché ad elementari esigenze di uniformità di trattamento di tutti i candidati. (Fattispecie nella quale una studentessa veniva ammessa all’esame di Stato con un credito scolastico di 28 punti, otteneva 9 punti nella prova scritta di italiano e 11 in quella specifica di indirizzo, presentandosi così al colloquio con un punteggio complessivo di 48 punti. In sede di esame orale, a causa di un forte stato di ansia – non superato nemmeno dopo una temporanea sospensione dell’esame concessa dalla commissione – la candidata non riusciva a rispondere ad alcuna domanda e conseguiva un punteggio di 3/20 che portava alla formalizzazione della sua bocciatura. Il GA ha ritenuto che la commissione ha debitamente motivato la propria decisione e ha legittimamente esercitato la propria attività tecnico-discrezionale di valutazione, ricordando che la finalità di formazione dei giovani, propria dell’istruzione pubblica, può configurare l’esito sfavorevole di una prova d’esame non come soccombenza rispetto ad altri, né come giudizio in assoluto negativo, ma come riconoscimento della necessità per alcuni di rafforzare le proprie cognizioni di base per affrontare senza sofferenza l’ulteriore corso di studi o l’ingresso nel mondo del lavoro.)

Sentenza 24/08/2025 n° 826
Area: Giurisprudenza

Il principio di proporzionalità della sanzione disciplinare da applicare al caso concreto è un criterio fondamentale per garantire equità e correttezza nel rapporto tra datore di lavoro e dipendente, esso richiede che la misura adottata sia adeguata alla gravità dell’infrazione commessa dal lavoratore, considerando sia gli aspetti oggettivi che quelli soggettivi. Il Giudice di merito, nella sentenza in commento, ha ravvisato la proporzionalità della sanzione adottata in considerazione della gravità dei fatti oggetto di contestazione e della condotta complessiva tenuta dal dipendente tenuto conto, anche, dell’età degli studenti e dell’esposizione dell’istituto scolastico al rischio di danno all’immagine. Porre in essere, in più occasioni, comportamenti estranei agli scopi didattici, non utilizzare la diligenza e la prudenza richiesta dal ruolo rivestito nello svolgimento dell’attività di docenza, non svolgere l’attività didattica nei modi e nelle forme idonee a garantire il corretto dispiegarsi del rapporto insegnante/alunno, sia per quel che concerne la trattazione delle materie di competenza che la vigilanza offerta durante l’orario scolastico, costituiscono comportamenti gravi che giustificano la sanzione espulsiva prevista dall'art. 498 D.Lgs. n. 297/1994 lett.a) - destituzione per atti che siano in grave contrasto con i doveri inerenti alla funzione. Per il Giudice la correttezza del procedimento disciplinare non è stata scalfita dalle varie eccezioni procedurali sollevate dalla parte ricorrente così come non è stata scalfita la gravità delle condotte contestate dalla circostanza, sempre addotta da parte ricorrente, che il Dirigente Scolastico avesse concesso al dipendente una proroga della supplenza, sia perché tale proroga è stata concessa prima dell’avvio del procedimento disciplinare, sia, soprattutto, perché il rapporto di lavoro oggetto di causa, seppure veicolato per il tramite dell’Istituto Scolastico, è intercorso tra il MIM e l’odierno ricorrente e la volontà della parte datoriale non può essere desunta dalla sola iniziativa intrapresa dal Dirigente scolastico; iniziativa alla quale peraltro non è attribuibile un valore univoco. Per completezza si rammenta che la reiterazione nell'ambiente di lavoro di gravi condotte aggressive o moleste o minacciose o ingiuriose o comunque lesive dell'onore e della dignità personale altrui nonché le gravi o reiterate violazioni dei codici di comportamento, ai sensi dell'articolo 54, comma 3, è anche sanzionata con il licenziamento dall'art. 55 quater comma 1 lett. e) e f-bis) D.Lgs. n. 165/2001. (Nel caso di specie è stato ritenuto legittimo e proporzionato il provvedimento sanzionatorio della destituzione di un docente con contratto a tempo determinato che ha posto in essere una condotta complessiva non idonea al ruolo svolto: durante la ricreazione, mentre tre alunni si alternavano a massaggiargli il collo, ometteva di vigilare sugli altri studenti che nel frattempo venivano alle mani riportando, uno di essi, la lesione del labbro; ha condotto in cortile i ragazzi dove ha fumato una sigaretta e ha affrontato con alcuni di essi argomenti riguardanti la sua vita privata ed intima; allo stesso inoltre era stato contestato il mancato svolgimento del programma; l’aver colpito un alunno con la bacchetta del monitor interattivo; l’omessa vigilanza sugli alunni e la difficoltà a gestire la classe)

01/12/2025 n° 63113
Area: Prassi, Circolari, Note

Ministero dell’istruzione e del merito
Ufficio Scolastico Regionale per la Lombardia
Direzione Generale
Via E. Caviglia, 11 – 20139 Milano - Codice Ipa: m_pi

Ai Dirigenti scolastici e ai Coordinatori delle
attività educative e didattiche di scuola
secondaria di primo e secondo grado
loro e-mail istituzionali
p.c. Ai Dirigenti UU.AA.TT. USR per la Lombardia
loro e-mail istituzionali
Ai Dirigenti Uffici I, II, V, XII USR per la
Lombardia
loro e-mail istituzionali

Oggetto: D.P.R. 8 agosto 2025, n. 134 - Regolamento concernente modifiche al decreto del Presidente della Repubblica 24 giugno 1998, n. 249, recante lo Statuto delle studentesse e degli studenti della scuola secondaria (GU n.223 del 25.9.2025) – chiarimenti e indicazioni.

Si fa seguito agli incontri informativi e formativi svoltisi il 16 e il 28 ottobre u.s. e, in considerazione dei vari quesiti posti all'attenzione di questo Ufficio, si ritiene opportuno fornire chiarimenti e indicazioni circa le modalità applicative del D.P.R. 8 agosto 2025, n. 134, che ha novellato lo Statuto delle studentesse e degli studenti della scuola secondaria, entrato in vigore dal 10 ottobre 2025.
In primo luogo, si rammenta che il D.P.R. 134 del 8 agosto 2025, in attuazione della L. 150 del 1° ottobre 2024, modifica solo in parte lo Statuto di cui al D.P.R. 249/98, peraltro già modificato con D.P.R. 235 del 21 novembre 200.
In particolare:
- resta immodificata la finalità dei provvedimenti disciplinari (art. 4, c. 2 inalterato) che resta ‘‘educativa’’, dovendo tendere al ‘‘rafforzamento del senso di responsabilità’’, al ‘‘ripristino di rapporti corretti all’interno delle comunità scolastica’’, al ‘‘recupero dello studente attraverso attività di natura sociale, culturale ed in generale a vantaggio della comunità scolastica’’;
- non mutano le caratteristiche delle sanzioni (art. 4, c. 5), che restano ‘‘temporanee, proporzionate alla infrazione disciplinare e ispirate al principio di gradualità’’ e ‘‘della riparazione del danno’’, oltre che obbligate a ‘‘tener conto della situazione personale dello studente, della gravità del comportamento e delle conseguenze che da esso derivano’’;
- non cambiano le procedure e il procedimento per l’irrogazione delle sanzioni, ma è da tenere conto che il riferimento all’offerta obbligatoria di ‘‘conversione in attività a favore della comunità scolastica’’, precedentemente previsto all’articolo 4 comma 5, è ora soppresso in quanto superfluo;
- permane che le sanzioni disciplinari possano essere irrogate soltanto previa verifica della sussistenza di elementi circostanziati e precisi dai quali si desuma che l'infrazione disciplinare sia stata effettivamente commessa da parte dello studente responsabile (art. 4, c. 9-ter);
- resta invariato che le sanzioni per le mancanze disciplinari commesse durante le sessioni d'esame debbano essere irrogate dalla Commissione di esame ed applicabili anche ai candidati esterni (art. 4, c. 11)
Si richiamano, in sintesi, le principali innovazioni normative, che includono la riformulazione delle misure disciplinari per renderle maggiormente riparative, e la centralità del voto di comportamento, su cui andranno ad incidere le infrazioni disciplinari.
Le modifiche sostanziali riguardano l’articolo 4 (DISCIPLINA) del DPR n. 249/1998.

▪ SANZIONI DISPIPLINARI

Si distingue tra "allontanamento dalle lezioni" fino a 15 giorni, di competenza del Consiglio di classe e "allontanamento dalla comunità scolastica" superiore a 15 giorni, di competenza del Consiglio d'istituto (art. 4, c. 6). Nello specifico:
- per allontanamenti dalle lezioni fino a due giorni, spetta al consiglio di classe in composizione allargata deliberare, con adeguata motivazione, attività di approfondimento sulle conseguenze dei comportamenti che hanno determinato il provvedimento disciplinare. Tali attività sono svolte presso l'istituzione scolastica. Le scuole, nell'ambito della loro autonomia, individuano i docenti incaricati di realizzare le attività sopra menzionate (art. 4, c. 8-bis);
- per allontanamenti dalle lezioni da tre a quindici giorni (art. 4, c. 8-ter), il consiglio di classe in composizione allargata delibera, con adeguata motivazione, attività di cittadinanza attiva e solidale, commisurate all'orario scolastico relativo al numero di giorni per i quali è deliberato l’allontanamento. Le suddette attività devono essere inserite all’interno del Piano triennale dell'offerta formativa (PTOF) e si svolgono presso le strutture ospitanti che la scuola individua sulla base di un elenco predisposto dall’Ufficio scolastico regionale. Il mancato o parziale svolgimento delle attività di cittadinanza attiva e solidale viene considerato dal Consiglio di classe ai fini dell'attribuzione del voto di comportamento. Le ore di attività di cittadinanza attiva e solidale sono computate nei tre quarti dell'orario annuale personalizzato richiesto ai fini della validità dell'anno scolastico, pur non influendo sulla valutazione degli apprendimenti delle singole discipline. Nei periodi di allontanamento non superiori a quindici giorni deve essere previsto un rapporto tra la comunità scolastica, lo studente e i suoi genitori tale da preparare il rientro nel gruppo classe (art. 4, c. 8); il consiglio di classe, con lo scopo di garantire la piena consapevolezza, da parte dello studente, dei comportamenti coerenti con i principi ispiratori della vita della comunità scolastica, può deliberare, ove necessario, la prosecuzione delle attività'
di cittadinanza attiva e solidale anche dopo il rientro nel gruppo classe, per un periodo massimo pari ai tre quarti dell'orario scolastico corrispondente ai giorni di allontanamento deliberato, e nel rispetto dei principi di temporaneità, proporzionalità e gradualità (art. 4, c. 8-quinquies);
- per allontanamenti dalla comunità scolastica superiori a quindici giorni, deliberati dal Consiglio di Istituto, la scuola promuove – in coordinamento con la famiglia e, ove necessario, anche con i servizi sociali e l’autorità giudiziaria – un percorso di recupero educativo mirato all'inclusione, alla responsabilizzazione e al reintegro, ove possibile, nella comunità scolastica (art. 4, c. 8-sexies). L'allontanamento dello studente dalla comunità scolastica superiore a quindici giorni può essere disposto anche quando siano stati commessi reati che violano la dignità e il rispetto della persona umana o vi sia pericolo per l'incolumità delle persone,
nonché in presenza di atti violenti o di aggressione nei confronti del personale scolastico, delle studentesse e degli studenti. In tale caso, la durata dell'allontanamento è commisurata alla gravità del reato ovvero al permanere della situazione di pericolo. Si applica, per quanto possibile, il disposto del comma 8 (art. 4, c. 9).

▪ ATTIVITÀ DI CITTADINANZA ATTIVA E SOLIDALE – MODALITÀ PROCEDURALI

In merito, è opportuno tener presente quanto segue:
- le attività di cittadinanza attiva e solidale, come sopra ribadito, devono essere svolte presso strutture esterne con le quali l'istituzione scolastica, nell'ambito della propria autonomia, stipula convenzioni, assicurando il raccordo e il coordinamento con le medesime (art. 4, c. 8-ter);
- le convenzioni disciplinano il percorso formativo personalizzato di attività di cittadinanza attiva e solidale, i tempi, le modalità, il contesto e i limiti del suo svolgimento presso le strutture ospitanti, nonché le rispettive figure di riferimento, tenendo anche conto che durante le attività di cittadinanza attiva e solidale, l'obbligo di vigilanza sulle studentesse e sugli studenti è in capo
alle strutture ospitanti, che comunicano tempestivamente alle istituzioni scolastiche eventuali assenze (art. 4, c. 8-ter);
- le strutture devono essere individuate dalle scuole esclusivamente tra quelle inserite nell’elenco su citato, che l’Ufficio scolastico regionale predispone a seguito di apposito avviso e con cui enti, associazioni e enti del Terzo settore possono manifestare la propria disponibilità ad accogliere lo studente nelle suddette attività di cittadinanza attiva e solidale. L’avviso pubblico specificherà i requisiti e i criteri definiti dal Ministero dell'istruzione e del merito (MIM), ad oggi ancora non resi noti, in base ai quali individuare le strutture accoglienti (art. 4, c. 8-ter);
- è compito dell’Ufficio scolastico regionale effettuare attività di verifica del mantenimento dei requisiti citati da parte delle strutture accoglienti accreditate, nonché procedere all’acquisizione di ulteriori manifestazioni di interesse pervenute, aggiornando annualmente gli elenchi di cui sopra (art. 4, c. 8-ter);
- in caso di indisponibilità delle strutture ospitanti, dovuta all’inidoneità delle stesse a causa dell'assenza dei requisiti individuati dal MIM, ovvero alla mancata presentazione di manifestazioni di interesse, le attività di cittadinanza attiva e solidale ivi contemplate, sono svolte a favore della comunità scolastica (art. 4, c. 8-quater);
- nelle more della definizione degli elenchi regionali delle strutture ospitanti, come sopra illustrato, le attività di cittadinanza attiva e solidale sono effettuate solo ed unicamente a favore della comunità scolastica (art. 6, c. 3-bis), dal momento che - dall’entrata in vigore delle nuove disposizioni normative - le predette strutture accoglienti devono possedere i requisiti e i relativi criteri individuati dal MIM.
Si fa presente, altresì, che per la realizzazione delle suddette attività di cittadinanza attiva e solidale, le istituzioni scolastiche, nell'ambito della loro autonomia, individuano le figure referenti per la realizzazione di tali attività, nell'ambito del personale scolastico, da remunerare a carico del Fondo per il Miglioramento dell'Offerta Formativa (art. 4, c. 8-ter).

▪ REGOLAMENTO DI DISCIPLINA D’ISTITUTO E PATTO DI CORRESPONSABILITÀ

Le istituzioni scolastiche, nell'ambito della loro autonomia, entro il termine di trenta giorni dalla data di entrata in vigore del D.P.R. n. 134/2025, ovvero entro lo scorso 10 novembre, sono state chiamate (art. 6, c. 1-bis) a adeguare il Regolamento di istituto alle previsioni di cui all'articolo 4, commi 8-bis, 8-ter, 8-quater, 8-quinquies e 8-sexies, sopra riportate, anche previa consultazione degli studenti di scuola secondaria superiore e dei genitori degli allievi di scuola secondaria di primo grado (art. 6, c. 1).
In ragione di quanto sopra, si è reso necessario intervenire per adeguare e integrare il Patto educativo di corresponsabilità. Nel dettaglio:
- nel Patto va incluso l'impegno dell'istituzione scolastica e delle famiglie a collaborare per consentire l'emersione di episodi riconducibili ai fenomeni del bullismo e del cyberbullismo, di situazioni di uso o abuso di alcool o di sostanze stupefacenti, nonché
di altre forme di dipendenza (art. 5, c. 1-bis);
- è necessario che le istituzioni scolastiche abbiano integrato il Patto, definendo in maniera dettagliata le attività formative e informative che intendono programmare a favore delle studentesse, degli studenti e delle loro famiglie, con particolare riferimento all'uso sicuro e consapevole della rete internet (art. 5, c. 1-ter);
- si ribadisce la necessità, da parte delle scuole, nell'ambito delle prime due settimane di inizio delle attività didattiche, di prevedere e realizzare iniziative idonee per le opportune attività di accoglienza dei nuovi studenti, per la presentazione e la condivisione dello statuto delle studentesse e degli studenti, del piano triennale dell'offerta formativa, dei regolamenti di istituto e
del patto educativo di corresponsabilità (art. 5, c. 3).
Si invita le istituzioni scolastiche a prestare la massima attenzione nell’applicazione delle novità normative riguardanti lo Statuto delle studentesse e degli studenti, in base a quanto sopra richiamato, soprattutto tenendo conto che, come più volte ribadito, al momento le attività di cittadinanza attiva e solidale possono essere svolte solamente a favore delle comunità scolastiche (cfr. art. 6, c. 3-bis).

Si confida nello scrupoloso rispetto, da parte di tutte le scuole, di quanto previsto dal nuovo quadro normativo e si porgono i più cordiali saluti.

IL DIRETTORE GENERALE
Luciana VOLTA

(Firmato digitalmente)

10/07/2025 n° 387
Area: Prassi, Circolari, Note

[doc. web n. 10167956]

Provvedimento del 10 luglio 2025

Registro dei provvedimenti
n. 387 del 10 luglio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, segretario generale reggente;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27/4/2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “RGPD”);

VISTO il d. lgs. 30/6/2003, n. 196 recante “Codice in materia di protezione dei dati personali” (di seguito “Codice”);

VISTO il provvedimento generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati», pubblicato in G.U. n. 134 del 12/6/2014 e in www.gpdp.it, doc. web n. 3134436 (di seguito “Linee guida in materia di trasparenza”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Introduzione

Questa Autorità ha aperto un’istruttoria nei confronti del Comune di Langhirano a seguito di una segnalazione in ordine a una violazione della normativa in materia di protezione dei dati personali derivante dalla diffusione di dati personali sul sito web istituzionale del predetto Comune. 

Nello specifico, dalla verifica preliminare effettuata dall’Ufficio, è emerso che sul sito istituzionale del Comune di Langhirano, nella sezione «Amministrazione trasparente», nell’area «Altri contenuti»/«Accesso civico», era possibile accedere a una pagina web (https://...) in cui erano presenti i seguenti file intitolati:

1.  «Esito accesso atti XX - XX», contenente il registro delle richieste accesso agli atti riferite a 148 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https://...);

2. «Accessi anno XX», contenente il registro delle richieste accesso agli atti riferite a 258 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https://...);

3. «Accessi anno XX», contenente il registro delle richieste accesso agli atti riferite a 359 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https:...);

4. «Accessi anno XX», contenente il registro delle richieste accesso agli atti riferite a 213 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https://...);

5. «Accessi anno XX», contenente il registro delle richieste accesso agli atti riferite a 216 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https://...);

6. «Accessi anno XX», contenente il registro delle richieste accesso agli atti riferite a 194 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https://...);

7. «Accessi anno XX», contenente il registro delle richieste accesso agli atti riferite a 67 istanze, con specifica indicazione dei seguenti dati: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito (url: https://...).

I citati documenti contenevano nel campo oggetto e mittente dati e informazioni personali, con specifica indicazione del nominativo del soggetto che ha effettuato la richiesta di accesso e della descrizione di quanto domandato con indicazione in molti casi dei dati personali dei soggetti cui si riferiscono gli atti richiesti. Solo per fare alcuni esempi, al riguardo, è emerso che nel campo oggetto era riportato: «richiesta diritto di accesso ai documenti relativi all’immobile posto XX di proprietà XX»; «accesso pratiche edilizie: XX e nominativo dell’intestatario della pratica XX»; ecc.). 

2. La normativa in materia di protezione dei dati personali

Ai sensi della disciplina in materia, «dato personale» è «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)» e «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del RGPD).

I soggetti pubblici, come il Comune, possono diffondere «dati personali» nel rispetto della disciplina in materia di protezione dei dati personali (art. 2-ter, commi 1 e 3, del Codice) e – in ogni caso – del principio di «minimizzazione», in base al quale i dati personali devono essere «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. c, del RGPD). 

Quanto al registro degli accessi, l’Autorità Nazionale Anticorruzione (ANAC) – nelle proprie Linee guida adottate d’intesa con il Garante – ha indicato la possibilità che venga istituito il predetto registro presso gli enti, specificando al contempo che il «registro contiene l’elenco delle richieste con l’oggetto e la data e il relativo esito con la data della decisione ed è pubblicato, oscurando i dati personali eventualmente presenti, e tenuto aggiornato almeno ogni sei mesi nella sezione Amministrazione trasparente, “altri contenuti – accesso civico” del sito web istituzionale» (par. 9, Determinazione n. 1309 del 28/12/2016 recante le «Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art. 5 co. 2 del d.lgs. 33/2013», in G.U. n. 7 del 10/1/2017 e in https://www.anticorruzione.it/-/determinazione-n.-1309-del-28/12/2016-rif.-1. Del medesimo tenore anche il par. 8.2.b. della Circolare del Ministro per la pubblica amministrazione n. 1 del 2019, recante «Attuazione delle norme sull’accesso civico generalizzato (c.d. FOIA)», in http://www.funzionepubblica.gov.it/sites/funzionepubblica.gov.it/files/Circolare_FOIA_n_1_2019.pdf).

Peraltro, occorre tenere in considerazione che la stessa disciplina statale in materia di trasparenza prevede espressamente che «Le pubbliche amministrazioni possono disporre la pubblicazione nel proprio sito istituzionale di dati, informazioni e documenti che non hanno l’obbligo di pubblicare ai sensi del presente decreto o sulla base di specifica previsione di legge o regolamento, nel rispetto dei limiti indicati dall’articolo 5-bis, procedendo alla indicazione in forma anonima dei dati personali eventualmente presenti» (art. 7-bis, comma 3, del d. lgs. n. 33 del 14/3/2013).

3. Valutazioni preliminari dell’Ufficio sul trattamento di dati personali effettuato.

Dalle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria, nonché delle successive valutazioni, l’Ufficio con nota prot. n. XX del XX ha accertato che il Comune di Langhirano – diffondendo i dati e le informazioni personali prima descritti inseriti nei registri degli accessi pubblicati online – ha tenuto una condotta non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel RGPD. Pertanto, con la medesima nota sono state notificate al predetto Comune le violazioni effettuate (ai sensi dell’art. 166, comma 5, del Codice), comunicando l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, par. 2, del RGPD e invitando l’amministrazione a far pervenire al Garante scritti difensivi o documenti ed, eventualmente, a chiedere di essere sentita da questa Autorità, entro il termine di 30 giorni (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981). 

4. Memorie difensive.

Il Comune di Langhirano, con la nota prot. n. XX del XX, ha inviato al Garante i propri scritti difensivi in relazione alle violazioni notificate.

Al riguardo, si ricorda che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice, intitolato «Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante».

Nello specifico, quanto alla condotta tenuta, l’amministrazione ha evidenziato, fra l’altro che:

- «Lo schema del registro accessi è stato predisposto nel XX dall’Amministrazione Comunale in ottemperanza agli adempimenti normativi in materia. L’ente pertanto si considera in perfetta buona fede ritenendo che detta predisposizione rappresentasse un congruo bilanciamento di interessi tra esigenze di pubblicità e riservatezza»

- «Si evidenzia pertanto che la pubblicazione del dato sia esclusivamente frutto di un’interpretazione ampia del principio di trasparenza anche il relazione al dibattito politico-culturale sul tema di quegli anni»;

- «Si evidenzia inoltre che non sono comunque in generale presenti dati ulteriori quali codice fiscale, indirizzo di residenza, numero civico, luogo, data di nascita o comunque elementi che possano identificare la persona fisica in maniera certa ed incontrovertibile»;

- «i dati pubblicati nella sezione di amministrazione trasparente afferenti il registro degli accessi, sono stati immediatamente rimossi dal gestionale in attesa degli sviluppi del caso»;

- non «sono mai pervenute segnalazioni, reclami o doglianze in generale» e non «risulta che da parte degli interessati siano mai state esercitate azioni volte alla tutela dei loro diritti […]»;

- «tutti i dati sono da ritenersi comuni eccezion fatta per un solo accesso afferente l’anno XX protocollo n.XX nel quale sono presenti categorie particolari di dati anche se, stante la casella “oggetto” e “mittente” si può addivenire solo in via indiretta a desumere una condizione relativa allo stato di salute di un soggetto. Cionondimeno per tutti i dati inseriti nelle tabelle non sono comunque presenti dati ulteriori come codice fiscale, indirizzo di residenza, numero civico, luogo e data di nascita. Non c’è altresì in generale coincidenza tra mittente ed oggetto e la mera indicazione di nome e cognome, non pare di per sé sufficiente ad identificare in maniera univoca il soggetto».

5. Valutazioni del Garante

La questione oggetto del caso sottoposto all’attenzione del Garante riguarda la diffusione di dati e informazioni personali, contenuti nei registri delle richieste accesso agli atti (anni XX) pubblicati online (di cui ai file identificati supra ai nn. 1-7 del par. 1).

I citati documenti contenevano nel campo oggetto e mittente dati e informazioni personali di centinaia di istanze con specifica indicazione di: data e numero di protocollo, oggetto, classificazione, mittente, destinatario, tipologia di accesso (documentale o civico), esito. In particolare, è stata lasciato in chiaro il nominativo del soggetto che ha effettuato la richiesta di accesso e la descrizione di quanto domandato con indicazione in molti casi dei dati personali dei soggetti cui si riferiscono gli atti richiesti (es: «richiesta diritto di accesso ai documenti relativi all’immobile posto in XX di proprietà XX»; «accesso pratiche edilizie: XX e nominativo dell’intestatario della pratica XX»; ecc.). 

Al riguardo, occorre evidenziare in via preliminare che la pubblicazione online nella sezione “Amministrazione trasparente” del sito web istituzionale (con conseguente indicizzazione nei motori di ricerca generalisti come Google) della circostanza di avere effettuato una richiesta di accesso presso un ente pubblico oppure quella riguardante il fatto che un soggetto abbia richiesto dati e informazioni riguardanti un terzo comporta la conoscenza generalizzata (tramite la diffusione) di informazioni di natura personale, che i soggetti interessati, per i motivi più vari, potrebbero non volere portare a conoscenza di soggetti estranei alla propria sfera personale e familiare, determinando una un’interferenza ingiustificata e sproporzionata nei relativi diritti e libertà. 

Nell’ambito dell’istruttoria aperta al riguardo da questa Autorità, il Comune ha confermato, nelle proprie memorie difensive, l’avvenuta diffusione online dei dati personali descritti in assenza di una idonea base giuridica, riconducendo la propria condotta a «un’interpretazione ampia del principio di trasparenza anche il relazione al dibattito politico-culturale sul tema […]». 

La ricostruzione offerta dall’ente chiarisce alcuni punti della questione ed è sicuramente utile ai fini della valutazione della condotta, ma non appare idonea a superare i rilievi critici mossi dall’Ufficio. 

Si ricorda infatti che – per il rispetto del principio di trasparenza amministrativa delle pp.aa. di cui all’art. 1, comma 1, del d. lgs. n. 33/2013 – nessuna norma di settore prevede un obbligo di pubblicazione dei dati personali di coloro che hanno effettuato accessi ad atti e documenti oppure dei soggetti cui si riferiscono gli atti richiesti. A ciò si aggiunge che l’istituzione presso ogni amministrazione del registro delle richieste di accesso, oltre a essere solo raccomandato nelle Linee guida di ANAC e nella Circolare del Ministro per la pubblica amministrazione prima citate (cfr. supra par. 2), non implica come necessaria e proporzionata anche l’operazione di diffusione online dei dati personali/nominativi di coloro che hanno effettuato le richieste di accesso e dei soggetti a cui i documenti si riferiscono. Nelle citate Linee guida di ANAC è, infatti, specificamente riportato che è sufficiente inserire «l’elenco delle richieste con l’oggetto e la data e il relativo esito con la data della decisione», avendo cura – in sede di pubblicazione – di «oscura[re] i dati personali eventualmente presenti». Molto chiara, in tal senso, è anche la Circolare del Ministro per la pubblica amministrazione, laddove – sempre con riferimento alla compilazione del registro degli accessi – è analogamente raccomandato che «ciascuna amministrazione indicherà gli estremi delle richieste ricevute e il relativo esito, omettendo la pubblicazione di dati personali eventualmente presenti» (par. 8.2.b).

L’ampia interpretazione del principio di trasparenza sostenuta dal Comune non può quindi giustificare la diffusione di dati personali online, in quanto non soddisfa nessuno dei presupposti di liceità previsti dall’art. 2-ter del Codice. La condotta posta in essere risulta peraltro in contrasto con quanto previsto dall’art. 7-bis, comma 3, del d. lgs. n. 33/2013, che prevede effettivamente la possibilità che le pp.aa. possano pubblicare sul sito web istituzionale dati, informazioni e documenti che non hanno l’obbligo di pubblicare sulla base di specifica previsione di legge o regolamento, ma sempre «procedendo alla indicazione in forma anonima dei dati personali eventualmente presenti». La diffusione dei dati personali descritti e oggetto di contestazione non è, inoltre, conforme alle indicazioni contenute nelle Linee guida dell’ANAC in materia e nella Circolare del Ministro per la pubblica amministrazione, che indicano chiaramente la necessità di procedere all’oscuramento dei dati personali presenti nel Registro degli accessi, fra cui sono compresi anche i nominativi dei soggetti istanti e di coloro cui si riferiscono i documenti richiesti. 

Analogamente, non può essere accolta l’eccezione sollevata dal Comune secondo la quale non vi sarebbe stata una violazione della disciplina in materia di protezione dei dati personali, in quanto – tenendo conto della circostanza che non sono stati diffusi accanto al nominativo dei soggetti interessati anche «dati ulteriori quali codice fiscale, indirizzo di residenza, numero civico, luogo, data di nascita» – non sarebbero stati diffusi «elementi che possano identificare la persona fisica in maniera certa ed incontrovertibile». Tale tesi è in contrasto con la disciplina europea in materia secondo la quale «dato personale» è, come detto, qualsiasi informazione riguardante una persona fisica identificata o identificabile e si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come, fra l’altro, proprio il «nome» (art. 4, par. 1, n. 1, del RGPD). Nel caso in esame, dall’istruttoria è emerso che il Comune ha pubblicato online proprio i nomi e cognomi dei soggetti interessati (soggetti che hanno effettuato l’accesso e talvolta anche soggetti a cui i documenti si riferiscono) contenuti nei registri degli accessi, ossia dati che identificano direttamente persone fisiche e rientrano, pertanto, sicuramente nella ricordata definizione di «dato personale» (indipendentemente dalla circostanza che siano accompagnati da ulteriori informazioni come codice fiscale, indirizzo di residenza, luogo e data di nascita).

Per altro verso, si rileva che, per stessa ammissione del Comune in almeno un procedimento i dati personali diffusi erano idonei a rivelare indirettamente anche la condizione di salute del soggetto interessato (art. 9 del RGPD), come nel caso della richiesta di accesso anno XX protocollo n. XX, avente a oggetto lo «stato pratica devoluzione contributo per rimozione barriere architettoniche - domanda presentata dalla sig.ra XX», con la conseguente violazione anche del divieto di diffusione di dati relativi alla salute previsto dall’art. 2-septies, comma 8, del Codice.

6. Esito dell’istruttoria relativa al reclamo presentato

Le circostanze evidenziate negli scritti difensivi del Comune, esaminate nel loro complesso, anche se sicuramente meritevoli di considerazione ai fini della valutazione della condotta, non risultano sufficienti a consentire l’archiviazione del presente procedimento. Ciò in quanto, nel caso in esame, non ricorre alcuna delle ipotesi previste dall’art. 11 del Regolamento del Garante n. 1/2019. 

In tale quadro, si confermano le valutazioni preliminari dell’Ufficio con la nota prot. n. XX del XX e si rileva – conformemente ai precedenti di questa Autorità in materia (provv. n. XX del XX, in www.gpdp.it, doc. web n. 9784482; n. 281 del 22/7/2021, ivi, doc. web n. 9696645) – che il trattamento di dati personali effettuato dal Comune di Langhirano non è conforme alla disciplina rilevante in materia di protezione dei dati personali, in quanto la diffusione dei dati personali prima descritti contenuti nei registri delle richieste accesso agli atti (anni XX) pubblicati online (di cui ai file identificati supra ai nn. 1-7 del par. 1) è avvenuta in violazione:

1)  delle disposizioni contenute dell’art. 2-ter, commi 1 e 3, del Codice; dell’art. 7-bis, comma 3, del d. lgs. n. 33/2013; dei principi di base del trattamento contenuti negli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b), del RGPD; nonché delle indicazioni contenute al riguardo nelle Linee guida dell’ANAC e nella Circolare del Ministro per la pubblica amministrazione (sopra richiamate al par. 2);

2) del principio di «minimizzazione» dei dati, che non sono risultati «limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (ossia la trasparenza amministrativa), previsto dall’art. 5, par. 1, lett. c), del RGPD;

3) del divieto di diffusione dei dati sulla salute dei soggetti interessati, previsto dall’art. 2-septies, comma 8, del Codice (cfr. anche l’art. 9, parr. 1, 2 e 4, del RGPD).

Considerato, tuttavia, che la condotta ha esaurito i suoi effetti, in quanto il titolare del trattamento ha dichiarato di aver provveduto a rimuovere i dati personali oggetto di contestazione dell’Ufficio dal sito web istituzionale, fermo restando quanto si dirà sull’applicazione della sanzione amministrativa pecuniaria, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del RGPD.

7. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria (artt. 58, par. 2, lett. i; 83 del RGPD) 

Il Comune di Langhirano risulta aver violato gli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b); 9, parr. 1, 2 e 4 del RGPD nonché gli artt. 2-ter, commi 1 e 3; 2-septies, comma 8, del Codice (cfr. anche artt. 7-bis, comma 3, del d. lgs. n. 33/2013).

Al riguardo, l’art. 83, par. 3, del RGPD, prevede che «Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave». 

Nel caso di specie, la violazione delle disposizioni citate – considerando anche il richiamo contenuto nell’art. 166, comma 2, del Codice – è soggetta all’applicazione della stessa sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del RGPD, che si applica pertanto al caso in esame. 

Il Garante, ai sensi ai sensi degli artt. 58, par. 2, lett. i) e 83 del RGPD, nonché dell’art. 166 del Codice, ha il potere correttivo di «infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso». In tale quadro, «il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice» (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

La predetta sanzione amministrativa pecuniaria inflitta in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare, tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del RGPD.

In tal senso, quanto all’illecita diffusione online di dati personali si tiene conto del fatto che la stessa ha avuto a oggetto la diffusione online di dati personali in un caso anche idonei a rivelare lo stato di salute (art. 9 del RGPD), riferiti a diverse centinaia di persone (soggetti che hanno effettuato l’accesso e talvolta anche soggetti a cui i documenti si riferiscono, contenuti nei registri nei registri degli accessi anni XX) mantenuti sul sito web istituzionale almeno fino data dell’invio delle memorie difensive del Comune (aprile XX). Tale condotta deriva in ogni caso – secondo quanto dichiarato dal Comune – da un’ampia interpretazione del principio di trasparenza e risulta quindi essere di natura evidentemente colposa. 

Si ritiene pertanto che, nel caso di specie, il livello di gravità della condotta tenuta dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Guidelines 04/2022 on the calculation of administrative fines under the GDPR” del 23/5/2023, punto 60).

Ciò premesso, oltre a tener conto della circostanza che il Comune di Langhirano è un ente di medie dimensioni (con poco più di 10.000 abitanti), si prendono in considerazione anche le seguenti circostanze attenuanti:

- il titolare del trattamento, a seguito della richiesta dell’Ufficio è intervenuto tempestivamente, collaborando con l’Autorità nel corso dell’istruttoria del presente procedimento al fine di porre rimedio alle violazioni, attenuandone i possibili effetti negativi, dichiarando, a tal fine, che la condotta è cessata avendo provveduto a rimuovere i dati dal sito web istituzionale;

- il titolare del trattamento ha dichiarato di non aver in ogni caso ricevuto segnalazioni, reclami o richieste di esercizio dei diritti da parte dei soggetti interessati;

- non risultano precedenti violazioni del RGPD pertinenti commesse dall’ente.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di dover determinare ai sensi dell’art. 83, parr. 2 e 3, del RGPD l’ammontare della sanzione pecuniarie, prevista dall’art. 83, par. 5, del RGPD, nella misura di euro 12.000,00 (dodicimila) per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b); 9, parr. 1, 2 e 4; del RGPD; nonché gli artt. 2-ter, commi 1 e 3; 2-septies, comma 8, del Codice (cfr. anche artt. 7-bis, comma 3, del d. lgs. n. 33/2013), quale sanzione amministrativa pecuniaria ritenuta effettiva, proporzionata e dissuasiva sensi dell’art. 83, par. 1, del medesimo RGPD.

In relazione alle specifiche circostanze del presente caso, riguardanti la diffusione di dati personali online, anche relativi alla salute, in assenza di una idonea base normativa (art. 2-ter, commi 1 e 3, del Codice), si ritiene altresì che debba essere applicata la sanzione accessoria della pubblicazione del presente provvedimento sul sito Internet del Garante, prevista dall’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019.

Si ritiene, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità del trattamento effettuato dal Comune di Langhirano nei termini indicati in motivazione ai sensi degli artt. 58, par. 2, lett. i), e 83 del RGPD, e dell’art. 144 del Codice, per la violazione degli artt. 5, par. 1, lett. a) e c); 6, par. 1, lett. c) ed e), par. 2 e par. 3, lett. b); 9, parr. 1, 2 e 4; del RGPD, nonché degli artt. 2-ter, commi 1 e 3; 2-septies, comma 8, del Codice;

ORDINA 

al Comune di Langhirano, in persona del legale rappresentante pro-tempore, con sede legale in P.zza Giacomo Ferrari, 1 - 43013 Langhirano (PR) – C.F. 00183800341 di pagare la somma di € 12.000,00 (dodicimila) a titolo di sanzione amministrativa pecuniaria per le violazioni di cui in motivazione; 

INGIUNGE

al medesimo Comune di pagare la somma di euro € 12.000,00 (dodicimila), secondo le modalità indicate in allegato, entro 30 giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981.

Si ricorda che resta salva la facoltà per il trasgressore di definire la controversia mediante il pagamento – sempre secondo le modalità indicate in allegato – di un importo pari alla metà della sanzione irrogata, entro il termine di cui all’art. 10, comma 3, del d. lgs. n. 150 dell’1/9/2011 previsto per la proposizione del ricorso come sotto indicato (art. 166, comma 8, del Codice).

DISPONE

- la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice e dall’art. 16, comma 1, del Regolamento del Garante n. 1/2019; 

- l’annotazione nel registro interno dell’Autorità delle violazioni e delle misure adottate ai sensi dell’art. 58, par. 2, del RGPD con il presente provvedimento, come previsto dall’art. 17 del Regolamento del Garante n. 1/2019.

Ai sensi dell’art. 78 del RGPD, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 10 luglio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE REGGENTE
Filippi

27/03/2025 n° 169
Area: Prassi, Circolari, Note

13/11/2025 n° 667
Area: Prassi, Circolari, Note

27/02/2025 n° 115
Area: Prassi, Circolari, Note

[doc. web n. 10126123]

Provvedimento del 27 febbraio 2025

Registro dei provvedimenti
n.  115 del 27 febbraio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo.

Con reclamo presentato all’Autorità da un avvocato, in nome e per conto della sig.ra XX e del sig.XX, è stata lamentata la pubblicazione, ad opera di una docente della scuola primaria dell’Istituto comprensivo Statale Don Lorenzo Milani di Guidonia Montecelio (di seguito, l’Istituto), sul registro elettronico, del Piano educativo individualizzato (PEI) del figlio dei reclamanti.

2. L’attività istruttoria.

Con nota del XX (prot. n. XX) rispondendo alla richiesta di informazioni formulata da questa Autorità, la dirigente scolastica dell’Istituto, ha rappresentato, in particolare:

- “in data XX ricevo comunicazione da parte dell’avvocato […] di "segnalazione violazione regolamento privacy per illegittima diffusione dati sanitari del minore […]";

- “il legale afferma che “in data XX si è verificato un grave episodio di diffusione di dati sensibili giacché nella chat di classe, l’insegnante […] ha postato il Piano Educativo Individuale del figlio dei miei assistiti diffondendo dati sensibili che dovevano rimanere riservati in quanto afferenti allo stato di salute psicofisica del minore ed alle sue problematiche”;

- “venuta solo allora a conoscenza dell’episodio, avvio procedura interna di indagine con prot. ris. N. XX del XX, notando però che lo screenshot finito sulla chat ed allegato dall’Avvocato, è relativo alla pagina di accesso sul registro del genitore dell’alunno”;

- “alla richiesta di chiarimenti, la Docente prontamente produce relazione acquisita con prot. ris. n.XX del XX. Di seguito i fatti accertati. In data XX, durante l’incontro di programmazione settimanale, la […], docente di sostegno di […] della classe IIIE, inseriva all’interno del registro elettronico, sezione Condivisione Documenti, il PEI per condividerlo con i genitori del minore (…). Dalla tendina richiamava la voce alunni e docenti, inseriva il nome dell’alunno interessato ed erroneamente anche la classe (…), di conseguenza il PEI, è risultato visibile a tutti i genitori della IIIE. Questo avveniva intorno alle ore 18.00. Subito dopo la docente incontra la collega di classe che aveva già ricevuto la telefonata della [… reclamante] e si rende conto di aver commesso un errore; pertanto, alle 18.22 corregge la visualizzazione (…). In quel lasso di tempo, il genitore di […] ha visionato il registro, avvisato la signora […] e postato lo screenshot della pagina sulla chat di classe. (…). Nessuno, compreso la docente, ha ritenuto opportuno avvisare la scrivente o i miei collaboratori”;

- “è accertato che la docente […] ha commesso l’errore nella gestione della visualizzazione del documento, la diffusione dei dati è avvenuta dentro il registro, nell’ambito della classe del minore, non sulla chat dove l’informazione è stata divulgata dal citato genitore della classe. Avendo avuto notizia dell’infrazione 90 giorni dopo l’evento, la richiesta del file delle visualizzazioni al gestore del Registro elettronico comportava un esborso consistente in quanto istanza proveniente dall’Istituto e non da Autorità preposta; pertanto, non è stato possibile verificare se il documento fosse stato scaricato da qualche genitore. I dati personali violati erano costituiti dai codici della disabilità riportati in una sezione del PEI”;

- “la condivisione del PEI, con il genitore avviene nell’ambito della normativa a tutela della disabilità in particolare del XX del XX. La scelta del registro, come strumento rapido di condivisione, è relativa al processo di digitalizzazione dell’Amministrazione, la visibilità dei singoli documenti, è riservata esclusivamente ai docenti e ai genitori degli alunni interessati. Al Gestore del Registro, in occasione del rinnovo del contratto, viene dato l’incarico del trattamento dati”;

- “nessuna certificazione relativa a dati sanitari è stata e viene inserita nel registro. A seguito dell’infrazione accertata dalla scrivente, si è provveduto ad epurare dei codici i format dei PEI e PDP e a vietare la Condivisione di tali documenti attraverso il Registro o altro mezzo digitale”;

- “nel merito dell’illegittima diffusione dei dati avvenuta in data XX, è stato già coinvolto il Responsabile della Protezione dei dati designato dell’Istituto, […], con il quale sono state concordate le misure correttive”.

Sulla base degli elementi acquisiti, l’Ufficio ha notificato, con nota del XX (prot. n. XX), all’Istituto, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, in quanto la pubblicazione del PEI del figlio dei reclamanti e quello predisposto per un altro alunno, contenenti dati personali, anche relativi alla salute degli interessati, seppure avvenuta in un’area riservata del registro elettronico non accessibile a chiunque, avrebbe dato luogo, nel caso di specie, a una comunicazione di dati personali a terzi in violazione degli artt. 5, 6 e 9 del Regolamento e 2-ter e 2-sexies del Codice.

Pertanto l’Ufficio ha invitato il predetto titolare a produrre scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

L’Istituto ha fatto pervenire le proprie memorie difensive, con nota del XX, (prot. n. XX), rappresentando, in particolare, che:

- “In data XX giunge reclamo da parte dell’Avvocato […] in merito alla diffusione di dati sensibili, il PEI, dell’alunno […] della classe IIIE primaria, nella chat di classe da parte dell’insegnante di sostegno […] avvenuta il giorno XX. Da indagini interne, avviate con prot. n. XX del XX, risulta che la diffusione dei dati da parte della docente non è avvenuta sulla chat di classe, ma all’interno del Registro in un’area riservata. La violazione contestata è durata un breve lasso di tempo, circa 22 minuti. Non si ha la prova che il documento sia stato scaricato in quanto lo screenshot allegato dall’Avvocato, prova soltanto la visibilità del documento nel Registro, ma non rivela il contenuto. Non è possibile, a distanza di così tanto tempo, ottenere il file log dal gestore del registro per verificare se e chi ha scaricato il PEI. Poiché il documento si trovava all’interno di un’area riservata del Registro, la visibilità era possibile solo ai genitori della classe IIIE, formata da 21 alunni. È impossibile determinare se in quei 22 minuti tutti abbiano fatto accesso al registro. Poiché non si ha prova riguardo l’apertura del documento da parte di soggetti terzi, la diffusione dei dati certa riguarda l’informazione che l’alunno […] ha un PEI, informazione nota a tutta la classe in quanto allo stesso era stata assegnata la docente di sostegno”;

- “la docente, per mero errore materiale, inserendo all’interno del Registro Elettronico, sezione Condivisione Documenti, il PEI per condividerlo con i genitori del minore […], fleggava non solo il nome dell’alunno interessato, ma anche la classe, di conseguenza il PEI, contrariamente alle intenzioni della docente, risultava visibile a tutti i genitori della IIIE. Dalla condotta della docente, supplente temporanea, non emerge nessuna intenzionalità di diffondere i dati del proprio alunno, ma solo un’imprudenza dovuta all’inesperienza e alla scarsa conoscenza del mezzo informatico. Supportata dai colleghi, ha immediatamente posto rimedio all’errore tanto che dopo solo 22 minuti la visualizzazione è stata corretta senza provocare nessun danno altrui”;

- è stata effettuata la “correzione immediata della visualizzazione sul Registro togliendo il flag alla classe. Contatto contestuale con la famiglia da parte della docente per scusarsi dell’accaduto. Disponibilità dell’Istituto ad incontrare la famiglia che ha sempre disdetto gli appuntamenti senza giustificare i motivi. Si osserva altresì che la discrasia è avvenuta il XX e, inspiegabilmente, la contestazione è stata effettuata il XX (oltre due mesi dopo l’accaduto). Appare evidente il carattere pretestuoso della richiesta che, a mente dell’art. 11, comma 1, lettera c del Regolamento n.1/2019 concernente le procedure interne aventi rilevanza esterna finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, avrebbe potuto comportare l’archiviazione del reclamo”;

- “Nessuna certificazione relativa a dati particolari viene inserita nel registro. A seguito dell’infrazione accertata dalla scrivente, si è provveduto ad epurare dei dati riconducibili alla salute i format dei PEI al fine di minimizzare l’uso dei dati particolari. Viene vietata la Condivisione di tali documenti attraverso il Registro o altro mezzo digitale. Il PEI viene consegnato brevi manu al genitore interessato. Essendoci all’Interno dell’Istituto un continuo movimento di personale temporaneo, si è programmato di reiterare la formazione sul trattamento dei dati personali”;

- “L’Istituto si è dotato, da tempo, del Compendio per le attività di trattamento dei dati personali e del Registro dei trattamenti predisposti insieme al DPO”;

- “innanzi tutto ribadire quanto stabilito dall’art. 11, comma 1, lettera c del Regolamento n.1/2019 in riferimento all’evidente carattere pretestuoso del reclamo: infatti, la violazione lamentata è accaduta il XX, la segnalazione alla scuola viene effettuata il XX – dopo due mesi dall’accaduto! -, quando la discrasia lamentata era stata sanata immediatamente (dopo 22 minuti) senza che nessun danno fosse stato arrecato all’alunno titolare del PEI. Si deve, inoltre, evidenziare che la diffusione dei dati, (di cui oltretutto non si ha certezza!) sarebbe avvenuta interessando soltanto gli appartenenti alla classe frequentata dall’alunno titolare del PEI che erano già a conoscenza della condizione dell’alunno in questione. In secondo luogo, giova qui ricordare che l’art. 83 del Regolamento (UE) 2016/679 correlato con il Codice in materia di protezione dei dati personali vigente, al comma 2, detta le condizioni generali per infliggere le sanzioni amministrative pecuniarie e così rappresenta la necessità che per ogni singolo caso si debba tener conto dei seguenti elementi:

a. “…Si osserva che vi è stata solo una presunta parte lesa ed il livello del danno subito è da ritenersi inesistente per l’immediato intervento da parte della docente che inopinatamente aveva creato il problema.

b. È evidente il carattere colposo della violazione, oltretutto commessa da una docente.

c. Come più volte detto, immediatamente sono state adottate misure che hanno reso inesistente qualsivoglia danno potesse derivare dalla discrasia commessa

d. Le misure tecniche e organizzative messe in atto da tempo fino ad ora hanno evitato il ripetersi di infrazioni equivalenti

e. Non si sono verificate precedenti violazioni commesse dal titolare o dal responsabile del trattamento dei dati

f. Non vi è stato bisogno di richiedere la cooperazione dell’Autorità di controllo in quanto, in modo autonomo, l’Istituzione aveva già posto rimedio alla discrasia (il problema è stato risolto dopo 22 minuti dall’accaduto e non si è più ripetuto)

h. Si presume che l’Autorità di controllo abbia preso conoscenza della violazione dai genitori dell’alunno interessato al Pei. Dalla Nota GPDP.Ufficio.Protocollo.XX, pervenuta all’istituzione ad XX, si evince che l’Autorità ha preso conoscenza mesi dopo di una violazione commessa diversi mesi prima.

i. Non sono stati mai disposti provvedimenti di cui all’art. 58 paragrafo 2 Regolamento del titolare del trattamento o del Responsabile del trattamento in quanto, non si sono mai in precedenza evidenziati violazioni di qualsivoglia tipo

j. L’Istituto è dotato di Compendio per le attività di trattamento dei dati personali e di Registro dei trattamenti”.

Nel corso dell’audizione tenutasi in data XX la dirigente scolastica dell’Istituto ha, altresì, dichiarato:

- “sono in servizio dal XX e ho condiviso con l’allora dirigente in servizio e il dpo gli elementi da fornire;

- l’evento si è verificato il XX, la dirigente è avvenuta a conoscenza dell’accaduto solo il XX quando ha ricevuto la nota del legale della famiglia dell’interessato, si è attivata subito consultando il dpo e verificando le conseguenze della pubblicazione; altresì ha sentito la docente interessata che ha relazione per iscritto le circostanze dell’evento verificatosi;

- Il documento è stato erroneamente pubblicato dalla docente che ha inserito la spunta di flag che ha determinato la visibilità del documento a tutti i genitori;

- La visibilità della comunicazione a tutti i genitori è stata disattivata dopo circa 20 minuti;

- L’unico genitore che ha letto la comunicazione ha condiviso uno screenshot dell’avviso di pubblicazione del documento a tutti gli altri genitori nella chat di classe senza tuttavia scaricarlo;

- In seguito un genitore dell’interessato ha avvisato le docenti dell’accaduto e pertanto la docente di sostegno ha provveduto subito a rimuovere l’avviso inserito;

- Ricevuta la nota del legale la dirigente ha invitato il legale e la famiglia ad incontrarsi per parlare delle conseguenze di tale comunicazione errata, ma tale incontro non è mai avvenuto perché la famiglia non ha mai aderito a tale invito;

- Insieme al dpo l’allora dirigente ha rivisto e modificato la modulistica e la modalità di condivisione del PEI con le famiglie coinvolte che non avviene più mediante RE ma esclusivamente in modalità cartacea;

- Nel mese di XX la dirigente è venuta a conoscenza che la famiglia dell’interessato ha proposto reclamo al Garante, dopo cioè circa 9 mesi dal verificarsi dell’evento;

- Non risulta che qualcuno abbia avuto modo di visualizzare o scaricare il documento, non è giunta nessuna segnalazione al riguardo;

- Era noto a tutta la classe che era stata nominata un’insegnate di sostegno per affiancare un alunno con disabilità”.

3. Esito dell’attività istruttoria.

3.1 Normativa applicabile.

Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, il “Regolamento”), definisce “dato personale”, “qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” e “dati relativi alla salute”, “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, punti 1 e 15, del Regolamento).

A norma del Regolamento il trattamento di dati personali effettuato in ambito pubblico è lecito quando è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, paragrafo 1, lett. c) ed e) e paragrafo 2 e 3 del Regolamento; art 2-ter del Codice).

Più in generale, la normativa europea prevede che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (…)” (art. 6, paragrafo 2 del Regolamento).

La disciplina nazionale ha introdotto disposizioni più specifiche per adeguare l’applicazione delle norme del Regolamento, determinando, con maggiore precisione, requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto (art. 6, par. 2 del Regolamento) e, in tale ambito, ha previsto che le operazioni di trattamento che consistono nella “diffusione” e “comunicazione” di dati personali sono ammesse solo quando previste da una norma di legge, regolamento o atti amministrativi generali (art. 2-ter, del Codice).

Con riguardo alle categorie particolari di dati personali, il trattamento è, di regola, consentito ove “necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. g), del Regolamento), a condizione che i trattamenti siano “previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato” (art. 2-sexies, comma 1, del Codice).

Il titolare del trattamento è poi tenuto a rispettare i principi in materia di protezione dei dati, tra cui quello di “liceità, correttezza e trasparenza” in base al quale i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato (art. 5, par. 1, lett. a) del Regolamento).

3.2 Esito dell’attività istruttoria.

Da quanto emerge dal reclamo in oggetto, nonché dall’accertamento compiuto sulla base degli elementi acquisiti a seguito dell’attività istruttoria e dalle successive valutazioni di questo Dipartimento, risulta che un’insegnante dell’Istituto ha reso disponibile, nella sezione del registro elettronico accessibile a tutti i genitori della classe 3,  sez. F della scuola primaria dell’Istituto,  il Programma educativo individualizzato riguardante i ragazzi con disabilità (PEI) elaborato per il figlio dei reclamanti.

Tale documento sarebbe stato visibile sul registro elettronico per circa ventidue minuti, in quanto successivamente l’insegnate avrebbe modificato le modalità di visualizzazione e avrebbe limitato la visibilità dello stesso ai soli genitori dell’alunno interessato.

L’immagine/screenshot dell’avviso di visibilità del Pei sul registro sarebbe stato, inoltre, pubblicata dal genitore di un alunno della 3 sez. F sulla chat di classe senza tuttavia scaricare e condividere il documento nella chat.

Con riguardo al profilo relativo alla messa a disposizione sulla chat di classe del richiamato documento, si evidenzia che la creazione, da parte di alunni, genitori o rappresentanti di classe, di chat di cui fanno parte i genitori degli studenti e l’utilizzo di tali strumenti come canali di comunicazione di notizie riguardanti i diversi aspetti della vita scolastica, non risulta riconducibile alle attività istituzionali o didattiche poste in essere dall’Istituto scolastico come titolare del trattamento. La creazione di chat di classe o gruppi whatsapp è infatti riconducibile ad autonomi comportamenti posti in essere da privati, dei quali la scuola non è tenuta a rispondere.

Con riguardo al diverso profilo relativo alla messa a disposizione dei due PEI sul registro elettronico da parte dell’insegnante si osserva quanto segue.

In via preliminare si osserva che, ai sensi dell’art. 4 par.1, n. 15 del Regolamento sono considerati dati relativi alla salute “i dati personali attinenti alla salute fisica e mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni sul suo stato di salute”.

Al riguardo si rappresenta che il PEI ossia il Programma educativo individualizzato riguardante i ragazzi con disabilità, previsto dalla normativa di settore in materia di disabilità, “è il documento nel quale vengono descritti gli interventi integrati ed equilibrati tra di loro, predisposti per l'alunno in situazione di handicap, in un determinato periodo di tempo, ai fini della realizzazione del diritto all'educazione e all'istruzione” (cfr. art. 5, comma 1 d.p.r. 24 febbraio 1994) e comprende una pluralità di informazioni relative alla condizione di disabilità del ragazzo per il quale tale documento è predisposto tra cui una apposita  sezione dedicata ai dati relativi alla Diagnosi funzionale.

Tale documento è elaborato e approvato dal Gruppo di lavoro operativo per l'inclusione scolastica e le informazioni relative alla stesura o verifica del PEI recanti l’indicazione del nominativo dell’alunno per il quale tale documento viene stilato, possono essere fornite solo ai genitori dello studente interessato, ai docenti della classe di appartenenza di quest’ultimo e ai soggetti individuati dalla normativa di settore, coinvolti nell’intervento terapeutico e formativo seguito dall’alunno stesso (cfr. artt. 7 e 9, comma 10, d.lgs. 13 aprile 2017, n. 66).

In particolare, si osserva che, sebbene la pubblicazione del PEI in questione sia avvenuta in un’area riservata del registro elettronico, non accessibile a chiunque e tale da determinare una diffusione di dati personali, la conoscibilità dei dati ivi contenuti è avvenuta, ancorché per un errore materiale, comunque in favore di un novero determinato o determinabile di soggetti, essendo tale area riservata accessibile a tutti i genitori della classe di riferimento (cfr. la definizione di “comunicazione” di dati personali contenuta nell’art. 2-ter comma 4 lett. a), del Codice), dando luogo ad una comunicazione di dati personali anche relativi alla salute degli interessati.

Alla luce delle considerazioni che precedono l’Istituto ha reso conoscibile in modo ingiustificato a soggetti terzi, dati personali, anche relativi alla salute, del figlio dei reclamanti. Né può essere ritenuto rilevante, ai fini della valutazione della complessiva condotta del titolare del trattamento quanto dichiarato in merito al fatto che “gli appartenenti alla classe frequentata dall’alunno titolare del PEI (…) erano già a conoscenza della condizione dell’alunno in questione”.

Per tali ragioni l’Istituto, ancorché a seguito di un mero errore, ha posto in essere un trattamento di dati personali, in violazione degli artt. 5, 6, 9 del Regolamento e 2-ter e 2-sexies del Codice.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ si rappresenta che gli elementi forniti dal titolare del trattamento nelle memorie difensive, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Pertanto, si confermano le valutazioni preliminari dell'Ufficio e si rileva l'illiceità del trattamento di dati personali effettuato dall’Istituto, in violazione degli artt. 5, 6 e 9 del Regolamento nonché dell’art. 2-ter e 2-sexies del Codice.

Ciò premesso, tenuto conto che:

- il titolare del trattamento è un istituto scolastico e, pertanto, un soggetto di ridotte dimensioni;

- l’evento si è verificato in quanto la docente per un mero errore materiale ha inserito la spunta di un flag che ha determinato la visibilità del documento a tutti i genitori della classe;

- la visibilità della comunicazione a tutti i genitori è stata disattivata dopo appena 22 minuti;

- i genitori della classe, mediante pubblicazione nella chat dello screenshot inerente alla pubblicazione del PEI, sono venuti a conoscenza della disponibilità del PEI sul registro elettronico ma non risulta invece comprovato che i genitori abbiano effettivamente preso visione del contenuto del PEI stesso, pertanto, la comunicazione dei dati riguarda l’informazione che il reclamante ha un PEI, senza conoscere il contenuto dello stesso;

- la dirigente scolastica ha invitato la famiglia ad incontrarsi per parlare di quanto accaduto ma la famiglia non ha mai aderito all’invito;

- il titolare del trattamento ha prestato piena collaborazione all’Autorità nel corso dell’istruttoria;

- non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento;

le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi dell’art. 83, par. 2, del cons. 148 del Regolamento e delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25 maggio 2018.

Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per avere violato gli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento nonché dell’art. 2-ter e 2-sexies del Codice.

Considerato che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019. con conseguente annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

- ai sensi dell’art. 57, par. 1, lett. f), dichiara illecita la condotta tenuta dell’Istituto comprensivo Statale Don Lorenzo Milani di Guidonia Montecelio, con sede in via Marco Aurelio, 2 - 00012 Guidonia Montecelio (Roma) - Codice Fiscale: 86003270583, descritta nei termini di cui in motivazione, consistente nella violazione degli artt. artt. 5, par. 1, lett. a), 6 e 9 del Regolamento nonché dell’art. 2-ter e 2-sexies del Codice;

- ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce l’Istituto Comprensivo Statale Don Lorenzo Milani quale titolare del trattamento in questione, per aver violato gli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento, nonché dell’art. 2- ter e 2-sexies del Codice;

DISPONE

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito web del Garante;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 27 febbraio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei

13/03/2025 n° 134
Area: Prassi, Circolari, Note

12/12/2024 n° 767
Area: Prassi, Circolari, Note

25/09/2025 n° 529
Area: Prassi, Circolari, Note

27/02/2025 n° 117
Area: Prassi, Circolari, Note

04/04/2025 n° 2773
Area: Prassi, Circolari, Note

Ministero dell'Istruzione e del Merito

Dipartimento per le risorse, l’organizzazione e l’innovazione digitale

Dipartimento per il sistema educativo di istruzione e formazione

Alle Istituzioni Scolastiche ed educative Statali e Paritarie
Ai Direttori generali/Dirigenti titolari
degli Uffici Scolastici Regionali

e p.c. All’Ufficio di Gabinetto
del Ministero dell’istruzione e del merito

Al Sovrintendente agli Studi della Valle d’Aosta

Al Sovrintendente Scolastico
della Provincia di Bolzano

Al Dirigente del Dipartimento Istruzione
per la Provincia Autonoma di Trento

Oggetto: Indicazioni alle Istituzioni scolastiche ed educative statali in merito alle modalità di gestione del registro elettronico

Con la presente nota, il Ministero dell’Istruzione e del Merito (a seguire, anche «Ministero») intende fornire alle Istituzioni scolastiche ed educative statali (a seguire, anche «Istituzioni Scolastiche» o «Istituzioni») indicazioni operative (a seguire, anche «Indicazioni Operative» o «Indicazioni») in merito alle modalità di gestione dei registri scolastici online di cui all’art. 7, comma 31, del D.L. n. 95/2012 (a seguire, anche «Registro/i») e degli eventuali rapporti di fornitura con operatori economici (a seguire, anche «Fornitori»).
In via preliminare, si evidenzia che il Registro presenta particolari profili di delicatezza, essendo strettamente connesso all’espletamento di funzioni pubbliche essenziali proprie delle Istituzioni Scolastiche, con conseguente coinvolgimento di molteplici dati personali di studentesse e studenti, genitori, dirigenti scolastici e personale scolastico, come anche precisato dal Garante per la Protezione dei Dati Personali all’interno del Vademecum «La scuola a prova di privacy», Ed. 2023 (1). I Registri in questione, pertanto, devono essere esclusivamente orientati al soddisfacimento delle finalità di organizzazione e gestione delle attività educative nel pieno rispetto della normativa vigente.
Ferma restando l’autonomia delle Istituzioni Scolastiche, si riportano a seguire alcuni aspetti di particolare rilevanza, previsti dalla normativa e dalle buone prassi di settore, dei quali se ne raccomanda la puntuale adozione.
L’utilizzo del Registro è previsto dal citato art. 7, comma 31, del D.L. n. 95/2012, il quale dispone che «A decorrere dall'anno scolastico 2012-2013 le istituzioni scolastiche e i docenti adottano registri on line e inviano le comunicazioni agli alunni e alle famiglie in formato elettronico».

In particolare, il Registro consente:
(i) la gestione delle attività didattiche da parte dei docenti (i.e., assenze, voti, giudizi, annotazioni sulle lezioni);
(ii) la presa visione dell’attività scolastica svolta dalle studentesse e dagli studenti da parte delle famiglie (i.e., compiti, lezioni, assenze, voti);
(iii) la trasmissione di comunicazioni istituzionali da parte del Ministero e delle Istituzioni alle famiglie, alle studentesse e agli studenti, anche alla luce della Nota MIM n. 788 del 31 gennaio 2025.
Il Registro non deve, pertanto, contenere servizi o attività non aderenti rispetto alla finalità di cui sopra quali, a titolo esemplificativo e non esaustivo: (i) svolgimento di iniziative commerciali o di marketing, (ii) trasferimento di dati a soggetti terzi, salvi i casi in cui ciò sia strettamente connesso al funzionamento del Registro (i.e., servizi cloud), (iii) messa a disposizione di contenuti non essenziali (i.e., mini-games, oroscopo, chat), (iv) esposizione di banner pubblicitari o rinvio a siti di terze parti contenenti proposte commerciali di qualunque categoria merceologica (i.e. acquisto di libri, di materiale scolastico, etc.).
Si coglie questa occasione per fornire nuovamente alcune importanti istruzioni e indicazioni, di pronta consultazione, in merito alle modalità di identificazione e di autenticazione, di integrazione, di interoperabilità, di data-protection, di sicurezza dei dati e di trasferibilità dei dati contenuti nel Registro (Allegato 1).
Le indicazioni operative fornite potranno essere periodicamente aggiornate dal Ministero alla luce delle evoluzioni normative e tecnologiche rilevanti per le questioni trattate.
Con riferimento all’uso del Registro, si ricorda, infine, la nota 11 luglio 2024, prot. n. 5274, avente ad oggetto “Disposizioni in merito all’uso degli smartphone e del registro elettronico nel primo ciclo di istruzione”, e le raccomandazioni in merito alla necessità “di accompagnare la notazione sul registro elettronico delle attività da svolgere a casa con la notazione giornaliera sui diari/agende personali”, in modo tale che “ciascun alunno potrà acquisire una crescente autonomia nella gestione degli impegni scolastici, senza dover ricorrere necessariamente all’utilizzo del registro elettronico”.
In caso di quesiti è possibile richiedere assistenza scrivendo al supporto «Help Desk Amministrativo Contabile» (HDAC), accedendo al seguente link: istruzione.it/hdac.
L’occasione è gradita per porgere cordiali saluti.

DIPARTIMENTO PER IL SISTEMA EDUCATIVO DI ISTRUZIONE E DI FORMAZIONE 

(Firmato digitalmente da Carmela Palumbo)

DIPARTIMENTO PER LE RISORSE, L’ORGANIZZAZIONE E L’INNOVAZIONE DIGITALE

(Firmato digitalmente da Nando Minnella)

(1) Il Vademecum «La scuola a prova di privacy», Ed. 2023, è reperibile al seguente link Scuola - Garante Privacy. Con riferimento al trattamento dei dati personali nell’ambito delle Istituzioni Scolastiche, si riporta a seguire il link delle FAQ elaborate dal Garante per la Protezione dei Dati Personali FAQ - Scuola e privacy - Garante Privacy.

*****

ALLEGATO 1
VADEMECUM REGISTRO ELETTRONICO

1) Procedura di identificazione e autenticazione
In coerenza con quanto previsto dall’art. 24, comma 4, del D.L. n. 76/2020 e dall’art. 64 del CAD, l’accesso al Registro deve avvenire esclusivamente mediante l’utilizzo di identità digitali (i.e., SPID, CIE, eIDAS).
Tali modalità di accesso, infatti, consentono di garantire un adeguato livello di sicurezza, impedendo o limitando l’accesso al Registro medesimo a soggetti non autorizzati. A tal fine è importante che, progressivamente, l’identità digitale diventi la preponderante modalità di accesso al registro.
Si ricorda inoltre che, al fine di semplificare gli adempimenti tecnico-amministrativi, il Ministero ha messo a disposizione delle Istituzioni Scolastiche e dei Fornitori che implementano pacchetti software una piattaforma di autenticazione c.d. «Gateway delle identità» o «eID Gateway», che agevola l’integrazione con i sistemi «Entra con SPID», «Entra con CIE» e «Login with eIDAS», facilitando l’accesso alle applicazioni con cui le Istituzioni medesime erogano servizi a studentesse e studenti, genitori, docenti e personale scolastico.
Ai fini di cui sopra, il suddetto «Gateway delle identità» supporta anche l’utilizzo dello SPID Minori, consentendo agli alunni e agli studenti minorenni di poter utilizzare i servizi sia tramite SPID che CIE.

2) Interoperabilità e integrazione con gli ulteriori servizi resi disponibili dal Ministero
Ai sensi di quanto previsto dagli artt. 12 e 64-bis del CAD, il Registro deve essere interoperabile con le applicazioni digitali del Ministero, al fine di assicurare la qualità, la continuità e la condivisione dei servizi offerti dal Ministero medesimo nei confronti di studentesse e studenti, genitori, dirigenti scolastici e personale scolastico.
In particolare, il Registro deve consentire l’interoperabilità con il Sistema Informativo dell’Istruzione (SIDI), utilizzato per monitorare, gestire e fornire servizi legati al mondo della scuola e con le principali applicazioni in uso quali ad esempio, l’Anagrafe Nazionale degli Studenti (ANS), la Piattaforma Unica, il servizio Pago In Rete.

3) Accessibilità
Il Registro deve garantire il rispetto delle previsioni in materia di accessibilità dei siti web e delle applicazioni mobili per le persone con disabilità, al fine di erogare Servizi fruibili, senza discriminazioni, nei confronti dell’intera platea di utenti (i.e., Legge del 9 gennaio 2004, n. 4, recante «Disposizioni per favorire e semplificare l'accesso degli utenti e, in particolare, delle persone con disabilità agli strumenti informatici»; D.Lgs. n. 106/2018, recante «Attuazione della direttiva (UE) 2016/2102 relativa all’accessibilità dei siti web e delle applicazioni mobili degli enti pubblici»;
Linee Guida sull’accessibilità degli strumenti informatici, adottate dall’Agenzia per l’Italia Digitale, da ultimo aggiornate il 29 maggio 2023, che definiscono i requisiti tecnici per l’accessibilità degli strumenti informatici, ivi inclusi i siti web e le applicazioni mobili).

4) Data Protection
Le Istituzioni Scolastiche, in relazione ai trattamenti effettuati per il tramite del Registro, ricoprono la funzione di Titolari del trattamento dei dati personali, in quanto, ai sensi dell’art. 4, par. 1, n. 7, del GDPR, determinano le finalità e i mezzi del trattamento di dati personali. Per tale motivo, devono garantire che i Servizi affidati siano rispettosi dei principi in materia di protezione dei dati personali come riportati all’interno dell’art. 5 del GDPR ossia:
(i) liceità, correttezza e trasparenza nel trattamento dei dati personali dell’interessato, (ii) limitazione della finalità;
(iii) minimizzazione dei dati, (iv) esattezza dei dati, (v) limitazione della conservazione, (vi) integrità e riservatezza nel trattamento dei dati e (vii) responsabilizzazione.
Tra i principali adempimenti che le Istituzioni Scolastiche, nell’ambito della propria autonomia didattica e organizzativa, sono tenute ad eseguire in qualità di Titolari, si segnalano i seguenti:
(i) esecuzione di una valutazione di impatto sul trattamento dei dati personali (DPIA), al fine di individuare i rischi connessi al trattamento eseguito (artt. 35 e ss. del GDPR);
(ii) rilascio agli interessati di un’idonea informativa sul trattamento dei dati personali, ai sensi degli artt. 13 e 14 del GDPR;
(iii) nomina dei soggetti autorizzati al trattamento dei dati personali (art. 29 del GDPR e art. 2–quaterdecies del D.Lgs. n. 196/2003).
Per adempiere a tali attività, le Istituzioni Scolastiche possono opportunamente coinvolgere anche i rispettivi «Data Protection Officer».
Le Istituzioni Scolastiche nominano, inoltre, all’interno di uno specifico contratto o altro atto giuridico, i Fornitori quali Responsabili del trattamento dei dati, che ai sensi dell’art. 28 del GDPR, a titolo esemplificativo, provvedono
a:
(a) trattare i dati personali per le sole finalità specificate e nei limiti dell’esecuzione delle prestazioni contrattuali;
(b) garantire la riservatezza dei dati personali trattati nell’ambito del contratto e verificare che le persone autorizzate a trattare i dati personali in virtù del contratto: (i) si impegnino a rispettare la riservatezza o siano sottoposti a un obbligo legale appropriato di segretezza, (ii) ricevano la formazione necessaria in materia di protezione dei dati personali e (iii) trattino i dati personali osservando le istruzioni impartite dal Titolare;
(c) informare il Titolare tempestivamente e, in ogni caso senza ingiustificato ritardo dall’avvenuta conoscenza, di ogni violazione di dati personali (cd. data breach), ai sensi degli artt. 33 e 34 del GDPR.

5) Sicurezza dei dati trattati
Tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento, gli atti con i quali si procede all’affidamento del Registro devono prevedere che l’operatore economico adotti, in qualità di Responsabile, tutte le opportune misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio (art. 32 del GDPR) quali, ad esempio:
(a) misure di «Business continuity», che hanno lo scopo di mantenere la continuità delle operazioni essenziali, qualora si verifichino situazioni di crisi o incidenti di sicurezza che causino l’indisponibilità dei sistemi per un certo lasso di tempo;
(b) misure di «Disaster Recovery», che garantiscono la capacità di ripristinare i sistemi compromessi nel modo più rapido e sicuro possibile;
(c) adozione di soluzioni cloud rispondenti alla specifica normativa di settore, ivi compresa la disciplina contenuta all’interno del «Regolamento per le Infrastrutture digitali e per i servizi cloud per la Pubblica Amministrazione, ai sensi dell’articolo 33-septies, comma 4, del Decreto-Legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla Legge 17 dicembre 2012, n. 211», adottato con Decreto Direttoriale dell’Agenzia per la cybersicurezza nazionale n. 21007 del 27 giugno 2024.

6) Trasferibilità dei dati contenuti nel Registro
I dati contenuti nel Registro devono essere pienamente e facilmente trasferibili ad altri Registri e/o applicazioni rispetto a specifiche esigenze delle Istituzioni scolastiche.

n° 1
Area: Normativa

1. Al decreto legislativo 13 aprile 2017, n. 62, sono apportate le seguenti modificazioni:

a) all'articolo 12:

1) il comma 1 è sostituito dal seguente:

«1. L'esame di Stato conclusivo dei percorsi di istruzione secondaria di secondo grado è denominato «esame di maturità». L' esame di maturità verifica i livelli di apprendimento conseguiti da ciascun candidato in relazione alle conoscenze, alle abilità e alle competenze specifiche di ogni indirizzo di studio, con riferimento alle Indicazioni nazionali per i licei e alle Linee guida per gli istituti tecnici e gli istituti professionali, e valuta il grado di maturazione personale, di autonomia e di responsabilità acquisito al termine del percorso di studio, anche tenuto conto dell'impegno dimostrato nell'ambito scolastico e in altre attività coerenti con il medesimo percorso di studio, in una prospettiva di sviluppo integrale della persona. L'esame di maturità assume altresì una funzione orientativa, finalizzata a sostenere scelte consapevoli in ordine al proseguimento degli studi a livello terziario ovvero all'inserimento nel mondo del lavoro e delle professioni.»;

2) il comma 2 è sostituito dal seguente:

«2. In relazione al profilo educativo, culturale e professionale specifico di ogni indirizzo di studi, l'esame di Stato tiene conto anche della partecipazione alle attività di formazione scuola-lavoro, dello sviluppo delle competenze digitali e del percorso dello studente di cui all'articolo 1, comma 28, della legge 13 luglio 2015, n. 107.»;

3) il comma 3 è sostituito dal seguente:

«3. L'esame di maturità tiene conto delle competenze maturate nell'ambito dell'insegnamento dell'educazione civica di cui alla legge 20 agosto 2019, n. 92.»;

b) all'articolo 16, comma 4, il primo periodo è sostituito dal seguente: «Presso le istituzioni scolastiche statali e paritarie sedi di esame, sono costituite commissioni d'esame, una ogni due classi, presiedute da un presidente esterno all'istituzione scolastica e composte da due membri esterni e, per ciascuna delle due classi, da due membri interni, afferenti alle aree disciplinari individuate con decreto del Ministro dell'istruzione e del merito da adottare entro sessanta giorni dalla data di entrata in vigore della presente disposizione.»;

c) all'articolo 17:

1) dopo il comma 2 è inserito il seguente:

«2-bis. L'esame di maturità è validamente sostenuto se il candidato ha regolarmente svolto tutte le prove di cui al comma 2»;

2) il comma 7 è sostituito dal seguente:

«7. Con decreto del Ministro dell'istruzione e del merito, sono individuate annualmente, entro il mese di gennaio, le discipline oggetto della seconda prova, nell'ambito delle materie caratterizzanti i percorsi di studio, l'eventuale disciplina oggetto di una terza prova scritta per specifici indirizzi di studio, le quattro discipline oggetto di colloquio d'esame, nonché le modalità organizzative relative allo svolgimento del colloquio medesimo di cui al comma 9. Per gli istituti professionali continuano ad applicarsi le specifiche disposizioni vigenti.»;

3) al comma 9:

3.1) il secondo periodo è sostituito dai seguenti:

«A tal fine la commissione d'esame tiene conto anche delle informazioni contenute nel curriculum dello studente di cui all'articolo 1, comma 30, della legge 13 luglio 2015, n. 107. Il colloquio si svolge sulle quattro discipline individuate ai sensi del comma 7 del presente articolo, al fine di verificare l'acquisizione dei contenuti e dei metodi propri di ciascuna disciplina, la capacità di utilizzare e raccordare le conoscenze acquisite e di argomentare in modo critico e personale, nonché il grado di responsabilità e maturità raggiunto. Il colloquio concorre alla valutazione delle conoscenze, delle abilità e delle competenze del candidato, nonché del grado di maturazione personale, di autonomia e di responsabilità raggiunto al termine del percorso di studio, anche tenuto conto dell'impegno dimostrato nell'ambito scolastico e in altre attività coerenti con il percorso di studio, nonché del grado di responsabilità o dell'impegno evidenziati in azioni particolarmente meritevoli, in una prospettiva di sviluppo integrale della persona. La commissione d'esame tiene, altresì, conto delle competenze maturate nell'insegnamento trasversale dell'educazione civica, come definite nel curricolo d'istituto e documentate dalle attività indicate nel documento del consiglio di classe.»;

d) all'articolo 18, il comma 5 è sostituito dal seguente:

«5. La commissione d'esame può motivatamente integrare il punteggio fino a un massimo di tre punti ove il candidato abbia ottenuto un punteggio complessivo di almeno novantasette punti, tra credito scolastico e prove d'esame»;

e) all'articolo 21:

1) al comma 2, secondo periodo, dopo le parole: «sono indicati,» sono inserite le seguenti: «all'esito dell'esame di maturità,»;

2) il comma 3 è sostituito dal seguente:

«3. Con decreto del Ministro dell'istruzione e del merito sono adottati il modello relativo al diploma finale di cui al comma 1 e, sentito il Garante per la protezione dei dati personali, il modello relativo al curriculum di cui al comma 2.».

2. A decorrere dalla data di entrata in vigore del presente decreto, la denominazione «Esame di Stato conclusivo del secondo ciclo di istruzione», ovunque ricorra, è sostituita dalla seguente: «esame di maturità».

3. All'articolo 1 del decreto legislativo 17 ottobre 2005, n. 226, il comma 7 è sostituito dal seguente:

«7. Nell'ambito del primo biennio dei percorsi della scuola secondaria di secondo grado, gli studenti possono richiedere, entro e non oltre il 31 gennaio di ciascun anno scolastico, l'iscrizione alla corrispondente classe di altro indirizzo, articolazione o opzione. L'istituzione scolastica individuata per la successiva frequenza adotta interventi didattici integrativi volti ad assicurare l'acquisizione delle conoscenze, delle abilità e delle competenze necessarie per l'inserimento nel percorso prescelto, al fine di favorire il successo formativo e il riorientamento. A decorrere dal terzo anno dei percorsi della scuola secondaria di secondo grado, gli studenti, all'esito dello scrutinio finale, possono richiedere l'iscrizione a una classe corrispondente di altro percorso, indirizzo, articolazione o opzione del medesimo grado di scuola, presso l'istituzione scolastica individuata per la prosecuzione degli studi, previo superamento di un esame integrativo. L'esame integrativo si svolge in un'unica sessione da concludersi prima dell'inizio delle lezioni. Con ordinanza del Ministro dell'istruzione e del merito sono stabilite le modalità di svolgimento degli esami integrativi di cui al quarto periodo.».

4. All'articolo 17, comma 2, del decreto legislativo 31 dicembre 2009, n. 213, dopo la lettera a) è inserita la seguente:

«a-bis) la restituzione alle studentesse e agli studenti dei livelli di apprendimento conseguiti nelle prove a carattere nazionale di cui all'articolo 19 del decreto legislativo 13 aprile 2017, n. 62;».

5. All'articolo 1 della legge 1° ottobre 2024, n. 150, dopo il comma 5 è aggiunto il seguente:

«5-bis. L'elaborato critico in materia di cittadinanza attiva e solidale è discusso dalla studentessa o dallo studente in sede di accertamento del recupero delle carenze formative di cui all'articolo 4, comma 6, del decreto del Presidente della Repubblica 22 giugno 2009, n. 122.».

6. All'articolo 1 della legge 30 dicembre 2018, n. 145, dopo il comma 784-septies è inserito il seguente:

«784-octies. Fermi restando gli obblighi di attivazione, i contenuti formativi, gli obiettivi generali e le finalità educative previsti dalla normativa vigente, a decorrere dall'anno scolastico 2025/2026, i percorsi per le competenze trasversali e per l'orientamento di cui ai commi 784 e 785 sono ridenominati «formazione scuola-lavoro». A decorrere dal medesimo anno scolastico, la denominazione «percorsi per le competenze trasversali e per l'orientamento», ovunque ricorra, è da intendersi sostituita con la denominazione di cui al primo periodo.».

7. L'autorizzazione di spesa di cui all'articolo 1, comma 125, della legge 13 luglio 2015, n. 107, è incrementata di 3 milioni di euro annui a decorrere dall'anno 2026, anche per la formazione specifica dei docenti nominati quali componenti delle commissioni degli esami di maturità. Ai relativi oneri si provvede, mediante utilizzo di quota parte delle risorse rivenienti dalle disposizioni di cui all'articolo 1, comma 1, lettera b) del presente decreto.

8. A decorrere dall'anno scolastico 2026/2027 costituisce titolo preferenziale per la nomina a componente delle commissioni degli esami di maturità l'aver partecipato alla formazione specifica di cui al comma 7.

23/01/2025 n° 31
Area: Prassi, Circolari, Note

Parere su istanza di accesso civico - 23 gennaio 2025

Registro dei provvedimenti n. 31 del 23 gennaio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27/4/2016, «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)» (di seguito “RGPD”);

VISTO l’art. 154, comma 1, lett. g), del Codice in materia di protezione dei dati personali - d.lgs. 30/6/2003, n. 196 (di seguito “Codice”);

VISTO l’art. 5, del d.lgs. n. 33 del 14/3/2013, recante «Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni»;

VISTA la Determinazione n. 1309 del 28/12/2016 dell’Autorità Nazionale Anticorruzione-ANAC, adottata d’intesa con il Garante, intitolata «Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art. 5 co. 2 del d.lgs. 33/2013», in G.U. serie generale n. 7 del 10/1/2017 e in https://www.anticorruzione.it/-/determinazione-n.-1309-del-28/12/2016-rif.-1 (di seguito “Linee guida dell’ANAC in materia di accesso civico”);

VISTO il provvedimento del Garante n. 521 del 15/12/2016, contenente la citata «Intesa sullo schema delle Linee guida ANAC recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico», in www.gpdp.it, doc. web n. 5860807;

VISTA la richiesta di parere del Responsabile della prevenzione della corruzione e della trasparenza (RPCT) di “Sapienza Università di Roma” (di seguito “Ateneo”), presentata ai sensi dell’art. 5, comma 7, del d.lgs. n. 33/2013 recante «Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni»;

CONSIDERATO che il predetto art. 5, comma 7, prevede che il Garante si pronunci entro il termine di dieci giorni dalla richiesta;

RITENUTO che il breve lasso di tempo per rendere il previsto parere non permette allo stato la convocazione in tempo utile del Collegio del Garante;

RITENUTO quindi che ricorrono i presupposti per l’applicazione dell’art. 5, comma 7, del Regolamento n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante, nella parte in cui è previsto che «Nei casi di particolare urgenza e di indifferibilità che non permettono la convocazione in tempo utile del Garante, il presidente può adottare i provvedimenti di competenza dell’organo, i quali cessano di avere efficacia sin dal momento della loro adozione se non sono ratificati dal Garante nella prima riunione utile, da convocarsi non oltre il trentesimo giorno» (in www.gpdp.it, doc. web, n. 1098801);

Vista la documentazione in atti;

PREMESSO

Con la nota in atti, il Responsabile della prevenzione della corruzione e della trasparenza dell’Ateneo ha chiesto al Garante il parere previsto dall’art. 5, comma 7, del d.lgs. n. 33/2013, nell’ambito del procedimento relativo a una richiesta di riesame su un provvedimento di diniego di accesso civico.

Dalla documentazione agli atti risulta che è stata presentata una richiesta di accesso civico al predetto Ateneo – ai sensi dell’art. 5 comma 2, del d.lgs. n. 33/2013 – avente a oggetto copia del Diploma/Certificato di Laurea conseguito [da soggetto identificato in atti].

L’Ateneo ha negato l’accesso civico, richiamando il limite di cui all’art. 5-bis, comma 2, lett. a), del d. lgs. n. 33/2013 inerente all’esistenza di un pregiudizio alla tutela della protezione dei dati personali. Ciò anche considerando – come riportato nella richiesta di parere a questa Autorità dal RPCT – che il soggetto controinteressato si è opposto «all’ostensione dei dati richiesti […] nell’ambito del procedimento di accesso documentale ex art. 22 e ss. della L. 241/90 attivato [dal medesimo soggetto istante]».

Il soggetto istante, ritenendo il rifiuto non corretto, ha pertanto presentato richiesta di riesame al Responsabile della prevenzione della corruzione e della trasparenza dell’Ateneo, insistendo nella propria richiesta. Al riguardo, a sostegno del proprio diritto di ricevere la copia del diploma è stato rappresentato che il MIUR tramite l’Anagrafe nazionale dell’istruzione superiore (ANIS) «sta procedendo alla pubblicazione dei titoli di studio accademici, in quanto certificazioni professionali di natura legale, che saranno a disposizione presso la già istituita banca dati, accessibile con Spid. Pertanto il titolo di studio rientra già tra i documenti soggetti alla pubblicazione da parte delle pubbliche amministrazioni»,

OSSERVA

1. Introduzione

La disciplina di settore in materia di accesso civico contenuta nel d.lgs. n. 33/2013 prevede, fra l’altro, che «allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico, chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del presente decreto, nel rispetto dei limiti relativi alla tutela di interessi giuridicamente rilevanti secondo quanto previsto dall’articolo 5-bis» (art. 5, comma 2).

La medesima normativa sancisce che l’accesso civico generalizzato è “escluso” nei previsti dall’art. 5-bis, comma 3,) ed è rifiutato, fra l’altro, «se il diniego è necessario per evitare un pregiudizio concreto alla tutela [della] protezione dei dati personali, in conformità con la disciplina legislativa in materia» (art. 5-bis, comma 2, lett. a). Per dato personale si intende «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)» e si considera “identificabile” «la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, RGPD).

Ciò premesso, occorre aver presente che nelle valutazioni da effettuare in ordine alla possibile ostensione di dati personali (o documenti che li contengono) tramite l’istituto dell’accesso civico, deve essere tenuto in considerazione che – a differenza dei documenti a cui si è avuto accesso ai sensi della l. n. 241 del 7/8/1990 – i dati e i documenti che si ricevono a seguito di una istanza di accesso civico divengono «pubblici e chiunque ha diritto di conoscerli, di fruirne gratuitamente e di utilizzarli e riutilizzarli ai sensi dell’articolo 7», sebbene il loro ulteriore trattamento vada in ogni caso effettuato nel rispetto dei limiti derivanti dalla normativa in materia di protezione dei dati personali (art. 3, comma 1, del d.lgs. n. 33/2013). Di conseguenza, è anche alla luce di tale amplificato regime di pubblicità dell’accesso civico che va valutata l’esistenza di un possibile pregiudizio concreto alla protezione dei dati personali del soggetto controinteressato, in base al quale decidere se rifiutare o meno l’accesso ai dati, informazioni o documenti richiesti.

Inoltre, è necessario rispettare, in ogni caso, i principi sanciti nel RGPD di «limitazione della finalità» e di «minimizzazione dei dati», in base ai quali i dati personali devono essere «raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità», nonché «adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (art. 5, par. 1, lett. b e c, del RGPD).

In tale contesto, occorre altresì tenere conto delle ragionevoli aspettative di confidenzialità degli interessati e della non prevedibilità delle conseguenze derivanti a questi ultimi dalla conoscibilità da parte di chiunque dei dati personali richiesti (cfr. par. 8.1 delle Linee guida dell’ANAC in materia di accesso civico, cit.).

2. Osservazioni sul caso sottoposto all’attenzione del Garante

Con particolare riferimento al caso in esame, risulta che l’istanza di accesso civico ha a oggetto la copia di un Diploma/Certificato di Laurea. Si tratta di un documento che contiene informazioni e dati personali, fra cui non solo di dati anagrafici (es.: nominativo e data di nascita), ma anche ulteriori notizie riguardanti il corso di studi effettuato, l’anno del conseguimento del diploma universitario e le indicazioni sulla valutazione ottenuta, che, per motivi individuali, non sempre si desidera portare a conoscenza di soggetti terzi estranei. In tal senso, dagli atti risulta che anche il soggetto controinteressato, nell’ambito di un diverso procedimento di accesso documentale ai sensi degli artt. 22 ss. della l. n. 241 del 7/8/1990 attivato dallo stesso soggetto istante sul medesimo documento, si è opposto all’ostensione dei dati.

La questione dell’accesso civico generalizzato alla copia di certificati universitari e titoli di studio (es.: diploma di laurea) è già stata esaminata dal Garante in precedenti pareri, peraltro proprio nei confronti di “Sapienza Università di Roma”, in cui si è concordato con il rifiuto opposto dall’Ateneo (cfr. parere n. 37 del 4/2/2022, in www.gpdp.it, doc. web n. 9746944 e provvedimenti ivi citati. Cfr. anche provv. n. 278 del 9/5/2018, ivi, doc. web n. 9099910).

In tale quadro – conformemente ai precedenti orientamenti di questa Autorità – si ritiene che, ai sensi della normativa vigente e delle indicazioni contenute nelle Linee guida dell'ANAC in materia di accesso civico, l’Ateneo abbia correttamente respinto l’accesso civico al Diploma di laurea richiesto.

Come infatti ricordato nel citato provvedimento del Garante n. 521/2016, contenente l’«Intesa sullo schema delle Linee guida ANAC recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico», (cfr. anche provv. n. 241 del 24/4/2024, in www.gpdp.it, doc. web n. 10018263; n. 37 del 29/1/2023, ivi, doc. web n. 9870805; n. 35 del 29/1/2023, ivi, doc. web n. 9867327; n. 15 del 18/1/2018, ivi, doc. web n. 7689066; provv. n. 360 del 10/8/2017, ivi, doc. web n. 6969290; provv n. 506 del 30/11/2017, ivi, doc. web n. 7316508), in base alla giurisprudenza della Corte europea dei diritti dell’uomo, l’articolo 10 della Cedu non conferisce, in via generale, all’individuo il diritto di accesso alle informazioni in possesso delle autorità pubbliche, né obbliga tali autorità a conferire allo stesso le medesime informazioni. Un tale diritto, o un tale obbligo, può essere, infatti, ricondotto alla più ampia libertà di espressione tutelata dall’art. 10 della Cedu, soltanto in situazioni particolari e a specifiche condizioni. Tra queste, assume particolare rilievo la circostanza che le informazioni oggetto di accesso attengano a questioni di interesse pubblico e pertanto, l’accesso alle informazioni in possesso delle autorità pubbliche possa ritenersi strumentale all’esercizio della libertà del richiedente di ricevere e di diffondere al pubblico le medesime informazioni, tale per cui il diniego dell’accesso costituirebbe una lesione di questa libertà (cfr. sul punto il caso M. H. B. v. Ungheria, 8 Novembre 2016, parr. 156 e 160-163).

Inoltre, come indicato anche nelle Linee guida dell’ANAC sull’accesso civico, l’accesso “generalizzato” è servente rispetto alla conoscenza di dati e documenti detenuti dalla p.a. «Allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico» (art. 5, comma 2, del d. lgs. n. 33/2013) (cfr. par. 8.1). Di conseguenza, quando l’oggetto della richiesta di accesso riguarda documenti contenenti informazioni relative a persone fisiche (e in quanto tali «dati personali») non necessarie al raggiungimento del predetto scopo, oppure informazioni personali di dettaglio che risultino comunque sproporzionate, eccedenti e non pertinenti, l’ente destinatario della richiesta, nel dare riscontro alla richiesta di accesso generalizzato, dovrebbe in linea generale scegliere le modalità meno pregiudizievoli per i diritti dell’interessato (ivi).

Nel caso in esame, dagli atti non emergono con evidente chiarezza elementi che possano consentire di ritenere che la conoscenza generalizzata del Certificato di laurea del soggetto controinteressato possa essere strumentale a «favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico», facendo supporre al più l’esistenza di un interesse meramente privato alla relativa ostensione. Ciò comporta che sulla base della tipologia, della natura dei dati e delle informazioni personali contenuti nel diploma di laurea oggetto dell’istanza di accesso civico, la relativa conoscenza a soggetti terzi estranei  – tenuto conto del particolare regime di pubblicità dei dati oggetto di accesso civico – determina un’interferenza ingiustificata e sproporzionata nei diritti e libertà del soggetto controinteressato (art. 5, par. 1, lett. b e c, del RGPD), arrecando a quest’ultimo un possibile pregiudizio alla tutela dei dati personali (art. 5-bis, comma 2, lett. a, del d. lgs. n. 33/2013).

Peraltro, anche in relazione a quanto riportato dal soggetto istante, in ordine alla circostanza che il MIUR tramite l’Anagrafe nazionale dell’istruzione superiore (ANIS) starebbe «procedendo alla pubblicazione dei titoli di studio accademici, in quanto certificazioni professionali di natura legale, che saranno a disposizione presso la già istituita banca dati, accessibile con Spid», si rappresenta che tale richiamo non risulta utile per supportare la richiesta di riesame del provvedimento di diniego dell’accesso civico.

L’ANIS, infatti, contiene i dati previsti dall’art. 3, comma 1, del Decreto del Ministero dell’Università e della ricerca del 30/9/2022, fra cui anche i titoli di studio. Tuttavia, tali dati non sono oggetto di pubblicazione e accessibili a chiunque – come sostenuto dal soggetto istante in maniera non conforme alla disciplina di settore – in quanto il citato decreto ministeriale prevede che tali informazioni sono accessibili secondo le modalità previste dagli artt. 4 e 5, nonché in particolare ai cittadini secondo le modalità di autenticazione ivi previste, unicamente in relazione ai «propri dati».

Ciò significa che per i titoli di studio contenuti nell’ANIS sussiste uno specifico regime di accessibilità disciplinato dalla normativa di settore, che non può essere superato dalla disciplina in materia di accesso civico. Ciò anche ai sensi dell’art. 5-bis, comma 3, del d. lgs. n. 33/2013 laddove è previsto che l’accesso civico «è escluso nei casi […] in cui l’accesso è subordinato dalla disciplina vigente al rispetto di specifiche condizioni, modalità o limiti […]» (cfr. anche Linee guida dell’ANAC in materia di accesso civico, par. 6.3).

Resta, in ogni caso, salva la possibilità di accedere al documento richiesto, laddove – utilizzando il diverso istituto dell’accesso ai documenti amministrativi ai sensi degli artt. 22 ss. della l. n. 241/1990 – sia dimostrata l’esistenza di «un interesse diretto, concreto e attuale, corrispondente ad una situazione giuridicamente tutelata e collegata al documento al quale è chiesto l’accesso».

TUTTO CIÒ PREMESSO IL GARANTE

esprime parere nei termini suesposti in merito alla richiesta del Responsabile della prevenzione della corruzione e della trasparenza di “Sapienza Università di Roma”, ai sensi dell’art. 5, comma 7, del d. lgs. n. 33/2013.

Roma, 23 gennaio 2025

27/03/2025 n° 167
Area: Prassi, Circolari, Note

[doc. web n. 10138981]

Provvedimento del 27 marzo 2025

Registro dei provvedimenti
n. 167 del 27 marzo 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4 aprile 2019, pubblicato in G.U. n. 106 dell’8 maggio 2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore l'avv. Guido Scorza;

PREMESSO

1. Introduzione.

Con reclamo presentato ai sensi dell’art. 77 del Regolamento, i Sig.ri XX, XX e XX hanno lamentato, per il tramite del proprio difensore, una presunta violazione della disciplina in materia di protezione dei dati personali con riguardo all’impiego, presso le sedi dell’Istituto di Istruzione Superiore “P. Galluppi” Tropea, di un sistema di rilevazione delle presenze del personale dipendente amministrativo che, richiedendo l’utilizzo delle impronte digitali dei lavoratori, implicherebbe il trattamento dei relativi dati biometrici al fine di identificarli in modo univoco.

2. L’attività istruttoria.

Al riguardo, nell’ambito dell’istruttoria, con nota del XX, l’Istituto ha dichiarato, in particolare, che:

“nelle diverse sedi dell’IIS di Tropea il personale ATA attesta la propria presenza in servizio per mezzo di rilevatore con badge acquisito nell’anno scolastico XX […] Nel corso del tempo, tuttavia, [… l’Istituto] ha rilevato situazioni che hanno generato il dubbio sul corretto utilizzo del badge e sulla effettiva presenza in servizio di titolari del badge, oltre ad episodi di manomissioni, danneggiamenti e atti vandalici. Per fare fronte alle azioni suddette e accertarsi della effettiva presenza in servizio dei dipendenti nelle ore previste, la Dirigenza della Scuola ha proposto al personale, a sua esclusiva tutela, l’integrazione del sistema di rilevazione con l’utilizzo dell’impronta digitale in abbinamento al badge, accolto con favore dallo stesso”;

“il sistema adottato è stato scelto sulla base della garanzia in ordine alla correttezza del trattamento dati ed alla conformità al GDPR rilasciate dall’azienda fornitrice”;

“non si è pensato di dover informare e coinvolgere il DPO, ritenendo sufficienti le indicazioni tecniche e le garanzie fornite dall’azienda oltre al consenso prestato dal personale ATA coinvolto ed anzi alla sollecitazione, da parte dello stesso, circa l’adozione di tale sistema a garanzia di tutti”;

“al personale coinvolto, per consentire di esprimere un consenso libero, è stata garantita la possibilità di usare alternativamente il sistema di rilevazione delle presenze con badge senza associazione dell’impronta. […] Tranne i due Signori [… tra i reclamanti], tutto il personale ATA (34 unità), in servizio presso l’Istituto d’Istruzione Superiore di Tropea, ha prestato il consenso all’integrazione del sistema di rilevazione delle presenze […] Agli atti della scuola sono conservati i consensi sottoscritti dal personale ATA interessato”;

“a seguito della ricezione del reclamo [ossia in data XX, giorno in cui l’Autorità ha trasmesso all’Istituto una richiesta di informazioni ai sensi dell’art. 157 Codice], [… l’Istituto] ha nell’immediatezza sospeso la rilevazione delle presenze con badge abbinato all’impronta digitale. Ad oggi, nonostante le richieste di tutto il personale ATA (tranne le due unità che hanno presentato reclamo) di riattivazione del sistema badge con impronta, sollevate e sollecitate dallo stesso durante le riunioni di avvio anno XX, con la disponibilità di tutto il personale suddetto a prestare richiesta scritta e ulteriore consenso alla riattivazione del sistema, la rilevazione delle presenze in servizio è attestata con il SOLO uso del badge SENZA impronta”.

Quanto, più nello specifico, al funzionamento del sistema di rilevazione delle presenze precedentemente in uso presso l’Istituto, dalla documentazione tecnica trasmessa in allegato alla predetta nota del XX si evince, in particolare, che:

“il funzionamento del lettore di impronte digitali, quale strumento di verifica biometrica comprende 2 fasi principali: A. Registrazione (enrolment): le caratteristiche dell'impronta digitale sono acquisite tramite il lettore del terminale, digitalizzate, elaborate e compresse mediante un algoritmo matematica irreversibile (da non confondersi con il processo di criptografia o crittografia) fino ad ottenerne un modello matematico (template) che, associato al codice identificativo della persona, diviene la base dei successivi confronti o verifiche; B. Verifica (matching): le caratteristiche dell'impronta digitale sono acquisite, digitalizzate, elaborate e compresse in modo identico a quello della fase di registrazione fino ad ottenere un analogo modello matematico. Il confronto tra il modello (template) archiviato relativo al codice di riferimento ed il risultato della lettura determina, in base allo scostamento, il risultato della verifica”;

“nel [predetto] modello […] vengono memorizzati solo dei numeri di riferimento […] e non la caratteristica biometrica vera e propria. Questo rende impossibile risalire dal template all'impronta stessa, rendendo così sicura, in materia di privacy, l'identità dei soggetti registrati”;

“il [predetto] template può essere memorizzato direttamente nella memoria del lettore oppure può essere memorizzato su un badge in dotazione all'utente, in entrambi i casi sono archiviati solo i seguenti dati: codice utente; è un puro codice di riferimento, assimilabile al numero di matricola; modello (template) è un puro numero, assimilabile al codice presente in una banda magnetica di un badge […;] elenco eventi: data/ora, codice utente, indirizzo del terminale ed eventuale codice causale (giustificativo) sono gli unici risultati memorizzati dopo le verifiche operate dal lettore biometrico, dati equivalenti ai dati "classici" di un terminale di gestione presenze”;

“nel lettore biometrico del terminale […] non sono quindi presenti: dati anagrafici dell'utente; immagine dell'impronta digitale dell'utente; dati fisici diretti o deducibili dell'impronta digitale”.

Con nota del XX, l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato all’Istituto, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, per aver trattato i dati personali biometrici dei dipendenti amministrativi, tecnici e ausiliari (A.T.A.) al fine di identificarli in modo univoco per rilevarne la presenza in servizio, in maniera non conforme al principio di “liceità, correttezza e trasparenza” nonché in assenza di un idoneo presupposto normativo, in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento.

Con la medesima nota, il predetto titolare è stato invitato a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, della l. 24 novembre 1981, n. 689).

Con nota del XX, l’Istituto, che non ha richiesto di essere audito, ha presentato una memoria difensiva, dichiarando, in particolare, che:

- “il sistema di rilevazione delle presenze tramite badge abbinato all’impronta digitale, è stato avviato [… dall’Istituto] nel XX”

- “contestualmente [alla sospensione dell’impiego del predetto sistema nel XX], sono state effettuate le operazioni di cancellazione di tutti i dati biometrici acquisiti dal sistema e impostato lo stesso per il funzionamento con il solo badge senza associazione dell’impronta”.

- “ad oggi […] la rilevazione delle presenze in servizio è attestata con il solo uso del badge senza impronta”.

3. Il quadro normativo in materia di protezione dei dati personali.

Con riferimento alla questione prospettata nel reclamo si evidenzia, in via preliminare, che i dati biometrici sono definiti dal Regolamento come “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici” (art. 4, punto 14), del Regolamento) e, laddove intesi a identificare in modo univoco una persona fisica, sono ricompresi tra le categorie “particolari” di dati personali (art. 9 del Regolamento) in ragione della loro delicatezza, derivante dalla stretta e stabile relazione con l’individuo e la sua identità.

Il trattamento di dati biometrici, di regola vietato per effetto del disposto di cui all’art. 9, par. 1, del Regolamento, è consentito esclusivamente al ricorrere di una delle condizioni indicate dell’art. 9, par. 2 del Regolamento e, in ambito lavorativo, solo quando sia “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato” (art. 9, par. 2, lett. b), del Regolamento; v. pure, art. 88, par. 1 e cons. 51-53 del Regolamento).

Il quadro normativo vigente prevede inoltre che il trattamento di dati biometrici, per poter essere lecitamente posto in essere, avvenga nel rispetto di “ulteriori condizioni, comprese limitazioni” (cfr. art. 9, par. 4, del Regolamento); a tale disposizione è stata data attuazione, nell’ordinamento nazionale, con l’art. 2-septies (Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute) del Codice (come modificato dal decreto legislativo 10 agosto 2018 n. 101 di adeguamento della normativa nazionale alle disposizioni del Regolamento). La norma prevede che è lecito il trattamento di tali categorie di dati al ricorrere di una delle condizioni di cui all’art. 9, par. 2, del Regolamento “ed in conformità alle misure di garanzia disposte dal Garante”, in relazione a ciascuna categoria dei dati.

Il datore di lavoro, titolare del trattamento, è, in ogni caso, tenuto a rispettare i principi di protezione dei dati personali, tra cui in particolare quelli di “liceità, correttezza e trasparenza”, “minimizzazione” e protezione dei dati “fin dalla progettazione” e “per impostazione predefinita” (artt. 5 e 25 del Regolamento).

4. Esito dell’attività istruttoria.

Dall’accertamento compiuto sulla base degli elementi acquisiti e dei fatti emersi all’esito dell’attività istruttoria, nonché delle successive valutazioni dell’Autorità, risulta accertato che, a partire dal XX e sino alla data del XX, l’Istituto ha fatto uso, presso le proprie sedi, di un sistema di rilevazione delle presenze del personale A.T.A. che richiedeva l’utilizzo delle impronte digitali dei lavoratori che avessero rilasciato il proprio consenso, con ciò dando luogo ad un trattamento dei relativi dati biometrici inteso ad identificare in modo univoco i singoli dipendenti al fine di rilevarne la presenza in servizio nonché nell’ottica di prevenire “episodi di manomissioni, danneggiamenti e atti vandalici” (cfr. nota del XX).

In particolare, è stato accertato che il predetto sistema, elaborando le caratteristiche dell'impronta digitale acquisita, permette di creare un modello matematico che, venendo associato al codice identificativo del singolo interessato, costituisce il termine di raffronto delle successive verifiche all’atto della timbratura dei dipendenti.

Ancorché lo stesso non mantenga traccia dei dati anagrafici dei dipendenti, dell’immagine o di “dati fisici diretti o deducibili” delle relative impronte digitali e, per altro verso, “la "ricostruzione dell'impronta digitale" partendo dal modello non [… sia] possibile, nemmeno conoscendo l'algoritmo di elaborazione” (cfr. nota del XX), si osserva quanto segue.

Le informazioni trattate per il tramite di tale sistema risultano comunque riconducibili ad un codice direttamente identificativo del singolo dipendente, ne consentono o confermano l’identificazione univoca e costituiscono pertanto dati personali biometrici (cfr. art. 4, nn. 1) e 14), del Regolamento).

Ciò premesso, si fa presente che la finalità di rilevazione delle presenze in servizio dei dipendenti, funzionale all’attestazione dell’osservanza dell’orario di lavoro alla sua contabilizzazione, che, in generale, nell’ambito del pubblico impiego, è prevista da un quadro normativo stratificatosi nel tempo (v. ad esempio, art. 22, comma 3 della l. 23.12.1994, n. 724; art. 3 della l. 24.12.2007, n. 244; art. 7 del d.P.R. 1.02.1986, n. 13), è riconducibile nell’ambito di applicazione dell’articolo 9 par. 2, lett. b) del Regolamento poiché implica un trattamento “necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro […]” (v. pure art. 88, par. 1, Regolamento).  Tuttavia, l’impiego di sistemi di rilevazione delle presenze che comportano anche il trattamento di dati biometrici richiede, nel sistema del Regolamento e del Codice, un’espressa previsione normativa e specifiche garanzie per i diritti degli interessati (il trattamento è infatti consentito “nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri […] in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato”, art. 9, par. 2, lett. b), del Regolamento e cons. 51-53, e “nel rispetto delle misure di garanzia” individuate dal Garante ai sensi dell’art. 9, par. 4, del Regolamento e dell’art. 2-septies del Codice).

Nel contesto lavorativo il trattamento avente a oggetto dati biometrici può essere lecitamente posto in essere solo ove lo stesso trovi il proprio fondamento in una disposizione normativa che possa essere ritenuta base giuridica del trattamento “idonea” anche alla luce dell’assetto delle fonti dell’“ordinamento costituzionale” dello Stato membro (v. considerando 41 del Regolamento e v. anche Corte Cost. sent. n. 271/2005, in base alla quale la disciplina di protezione dei dati personali rientra fra la materia di competenza esclusiva statale riferita all’“ordinamento civile”). Tale disposizione deve, infatti, avere le caratteristiche richieste dalla disciplina di protezione dei dati e soddisfare specifici requisiti, sia in termini di qualità della fonte, contenuti necessari e misure appropriate e specifiche per tutelare i diritti e le libertà degli interessati, sia in termini di proporzionalità dell’intervento regolatorio rispetto alle finalità che si intendono perseguire (art. 6, parr. 2 e 3, lett. b), del Regolamento). Ciò in quanto, la base giuridica del trattamento, per poter essere considerata una valida condizione di liceità del trattamento, deve, tra l’altro, “persegu[ire] un obiettivo di interesse pubblico ed [essere] proporzionato all’obiettivo legittimo perseguito” (art. 6, par. 3, lett. b), del Regolamento).

Al riguardo, si fa presente inoltre che l’art. 2 della l. 19 giugno 2019, n. 56, recante “Interventi per la concretezza delle azioni delle pubbliche amministrazioni e la prevenzione dell’assenteismo”, aveva previsto una generalizzata sostituzione dei sistemi di rilevazione automatica delle presenze con sistemi di rilevazione di dati biometrici unitamente all’impiego di sistemi di videosorveglianza prevedendo che, “ai fini della verifica dell’osservanza dell’orario di lavoro”, le amministrazioni pubbliche - individuate ai sensi dell’art. 1, comma 2, del d.lgs. n. 165/2001, ad esclusione del “personale in regime di diritto pubblico” (cfr. art. 3, comma 2, d.lgs. n. 165/2001), e quello sottoposto alla disciplina del lavoro agile di cui all’articolo 18 della legge 22 maggio 2017, n. 81 - “introducono sistemi di identificazione biometrica e di videosorveglianza in sostituzione dei diversi sistemi di rilevazione automatica attualmente in uso” ma prevede anche che le “modalità attuative” della norma – nel rispetto dell’art. 9 del Regolamento e delle misure di garanzia definite dal Garante ai sensi dell’art. 2-septies del Codice – siano individuate con d.P.C.M., su proposta del Ministro della funzione pubblica, previa intesa con la conferenza unificata (stato regioni e autonomie locali) e “previo parere del Garante ai sensi dell’art. 154 del Codice sulle modalità del trattamento dei dati biometrici”.

Nell’esercizio dei propri poteri consultivi sugli atti normativi (artt. 36, par. 4 e 58, par. 3 del Regolamento nonché art. 154 del Codice), il Garante aveva, a suo tempo, segnalato al legislatore nazionale le criticità della norma evidenziando, in particolare, “l’eccedenza rispetto alle finalità che si intendono perseguire, anche sotto il profilo della gradualità delle misure limitative che possono essere adottate nei confronti dei lavoratori” (cfr. provv. 11 ottobre 2018, n. 464, doc. web n. 9051774) e - confermando quanto già rilevato nel corso delle audizioni dinanzi alle Commissioni parlamentari competenti (audizioni presso le Commissioni riunite I e XI, Affari Costituzionali e Lavoro, della Camera dei Deputati il 6 febbraio 2019, doc. web n. 9080870) -, ha ribadito, anche in relazione allo schema di regolamento di attuazione, peraltro mai adottato, che “non può ritenersi in alcun modo conforme al canone di proporzionalità- come declinato dalla giurisprudenza europea e interna– l’ipotizzata introduzione sistematica, generalizzata e indifferenziata per tutte le pubbliche amministrazioni di sistemi di rilevazione biometrica delle presenze, in ragione dei vincoli posti dall’ordinamento europeo sul punto, a motivo dell’invasività di tali forme di verifica e delle implicazioni derivanti dalla particolare natura del dato” (provv. 19 settembre 2019, n. 167, doc. web n. 9147290).

Le disposizioni che prevedevano l’introduzione di sistemi di rilevazione biometrica delle presenze, in ambito pubblico, contenute nei commi da 1 a 4 dell’art. 2 della l. 19 giugno 2019, n. 56, sono state da ultimo abrogate dalla l. 30 dicembre 2020, n. 178 (c.d. Legge di Bilancio 2021, art. 1, comma 958). 
Per tali ragioni, si evidenzia che, in assenza di specifiche disposizioni che prevedano il trattamento dei dati biometrici per finalità di rilevazione delle presenze e delle relative garanzie, il relativo trattamento non può essere lecitamente effettuato, non sussistendo base giuridica.

In tale quadro, il Garante in numerosi casi ha accertato l’illiceità del trattamento dei dati biometrici dei dipendenti per la finalità di rilevazione delle presenze posto in essere da soggetti pubblici e privati in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento, adottando i conseguenti provvedimenti correttivi e sanzionatori (provv. 15 dicembre 2022, n. 422, doc. web n. 9852776; provv. 15 dicembre 2022, n. 423, doc. web n. 9852800; provv. 14 gennaio 2021, n. 16, doc. web n. 9542071; per analoghe considerazioni in ambito privato, cfr. provv. 22 febbraio 2024, n. 105, 106, 107, 108 e 109, doc. web nn. 9995680, 9995701, 9995741, 9995762, 9995785; provv. 10 novembre 2022, n. 369, doc. web n. 9832838).

Nei menzionati provvedimenti, il Garante ha altresì avuto modo di chiarire come il difetto di base giuridica, in merito al trattamento dei dati biometrici, non possa essere colmato neppure dal consenso dei dipendenti, che l’Istituto ha dichiarato di aver acquisito nel caso di specie, assicurando altresì ai dipendenti che non lo avessero rilasciato la possibilità di attestare la propria presenza in servizio senza conferire a tal fine dati biometrici. Ciò in quanto, alla luce della asimmetria tra le rispettive parti del rapporto di lavoro e la conseguente, eventuale, necessità di accertare, di volta in volta e in concreto, l’effettiva libertà della manifestazione di volontà del dipendente, il consenso non costituisce, di regola, un valido presupposto di liceità per il trattamento dei dati personali in ambito lavorativo, indipendentemente dalla natura pubblica o privata del datore di lavoro (cons. n. 43; art. 4, punto 11), e art. 7, par. 3 e 4, del Regolamento; v., l’orientamento consolidato in sede europea, Gruppo di lavoro "Articolo 29", Parere 2/2017 sul trattamento dei dati sul posto di lavoro, WP 249, p. 7 e 26 e Linee Guida sul consenso ai sensi del Regolamento UE 2016/679- WP 259- del 4 maggio 2020).

Per le ragioni che precedono, deve concludersi che il trattamento dei dati personali biometrici dei dipendenti amministrativi, tecnici e ausiliari (A.T.A.), effettuato dall’Istituto al fine di identificarli in modo univoco per rilevarne la presenza in servizio, è stato posto in essere in maniera non conforme al principio di “liceità, correttezza e trasparenza” nonché in assenza di un idoneo presupposto normativo, in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento

5. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Istituto, per aver effettuato il predetto trattamento in violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento.

Tenuto conto che la violazione delle predette disposizioni ha avuto luogo in conseguenza di un’unica condotta (stesso trattamento o trattamenti tra loro collegati), trova applicazione l’art. 83, par. 3, del Regolamento, ai sensi del quale l’importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, le violazioni sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti - atteso che l’Istituto ha dichiarato di aver sospeso l’utilizzo del sistema di rilevazione biometrica delle presenze dei dipendenti A.T.A. nel XX nonché di aver cancellato i dati biometrici precedentemente raccolti - non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

Tenuto conto, in particolare, che:

il trattamento, che ha riguardato unicamente i dipendenti A.T.A. (34 persone), ai quali era comunque riconosciuta la possibilità di registrare la propria presenza in servizio attraverso modalità tradizionali che non comportavano il trattamento di dati biometrici (art. 83, par. 2, lett. a), del Regolamento);

il titolare, nel fare affidamento sulle informazioni rese dalla società fornitrice del sistema, ha ritenuto di non consultare il proprio responsabile della protezione dei dati, iniziativa che avrebbe invece consentito allo stesso di avvedersi degli specifici ed elevati rischi per i diritti e le libertà degli interessati coinvolti e di orientare le proprie scelte al riguardo in maniera maggiormente consapevole e, se del caso, diversa (art. 83, par. 2, lett. b), del Regolamento);

il trattamento ha avuto ad oggetto dati biometrici intesi ad identificare in modo univoco gli interessati di cui agli artt. 4, n. 14), del Regolamento, dati che, analogamente a quelli sulla salute e genetici, sono tutelati in maniera particolarmente stringente dal Regolamento e dal Codice (cfr. art. 83, par. 2, lett. g), del Regolamento),

si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia alto (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Ciò premesso, nel tenere presente che, comunque, il titolare è costituito da un istituto scolastico, si ritiene che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le seguenti circostanze attenuanti:

il titolare ha offerto una buona cooperazione con l’Autorità nel corso dell’istruttoria, avendo, peraltro, fornito tempestiva comunicazione delle iniziative intraprese per porre rimedio alla violazione (art. 83, par. 2, lett. f), del Regolamento);

non risultano precedenti violazioni pertinenti commesse dall’Istituto (art. 83, par. 2, lett. e), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 4.000,00 (quattromila/00) per la violazione degli artt. 5, 6 e 9 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione della particolare natura dei dati personali oggetto di trattamento e dei connessi rischi per gli interessati nel contesto lavorativo.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dall’Istituto di Istruzione Superiore “P. Galluppi” Tropea per violazione degli artt. 5, 6 e 9 del Regolamento, nei termini di cui in motivazione;

ORDINA

all’Istituto di Istruzione Superiore “P. Galluppi” Tropea in persona del legale rappresentante pro-tempore, con sede legale in viale Coniugi Crigna snc - 89861 Tropea (VV), C.F. 96012510796, di pagare la somma di euro 4.000,00 (quattromila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

al predetto Istituto, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 4.000,00 (quattromila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

- ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 154-bis, comma 3 del Codice e dell’art. 37 del Regolamento del Garante n. 1/2019, la pubblicazione del presente provvedimento sul sito internet dell’Autorità;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione delle violazioni e delle misure adottate in conformità all’art. 58, par. 2 del Regolamento, nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u) del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 27 marzo 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei

04/08/2025 n° 454
Area: Prassi, Circolari, Note

[doc. web n. 10162698]

Parere sullo schema di decreto ministeriale del Ministero dell’istruzione e del Merito concernente “l’implementazione di un servizio digitale in materia di Intelligenza Artificiale nell’ambito della Piattaforma Unica di cui all’articolo 21, commi 4-ter e seguenti, del decreto-legge del 22 giugno 2023, n. 75, convertito, con modificazioni, dalla legge del 10 agosto 2023, n. 112” e le “Linee guida per l’introduzione dell’Intelligenza Artificiale nelle Istituzioni scolastiche” - 4 agosto 2025

Registro dei provvedimenti
n. 454 del 4 agosto 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Angelo Fanizza, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il d.lgs. 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali” (di seguito, Codice);

VISTO il Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (di seguito, anche «Intelligenza Artificiale» o «IA») e modifica i regolamenti (CE) n, 300/2008, (UE) n, 167/2013, (UE) n, 168/2013, (UE) 2018/858, (UE) 2018/1139 e (UE) 2019/2144 e le direttive 2014/90/UE, (UE) 2016/797 e (UE) 2020/1828 (di seguito, anche «Regolamento sull’IA»);

VISTO il Decreto-Legge 22 giugno 2023, n. 75, recante “Disposizioni urgenti in materia di organizzazione delle pubbliche amministrazioni, di agricoltura, di sport, di lavoro e per l’organizzazione del Giubileo della Chiesa cattolica per l’anno 2025” convertito, con modificazioni, dalla Legge 10 agosto 2023, n. 112 e, in particolare, l’articolo 21, comma 4-ter, secondo cui il Ministero dell’Istruzione e del Merito (di seguito, MIM) promuove la progettazione, lo sviluppo e la realizzazione della «Piattaforma Famiglie e Studenti», anche denominata «Unica» (di seguito, anche «Piattaforma» o «Unica»), quale canale unico di accesso al patrimonio informativo detenuto dal MIM e dalle Istituzioni Scolastiche, attraverso il quale famiglie e studenti possono fruire con modalità semplificate dei servizi digitali offerti dal Ministero e dalle Istituzioni Scolastiche;

CONSIDERATO che, in attuazione dell’articolo 21, comma 4-quinquies, del suddetto Decreto-Legge n. 75/2023, il MIM ha adottato il Decreto ministeriale 10 ottobre 2023, n. 192, avente a oggetto “la disciplina sul trattamento dei dati personali effettuato dal Ministero dell’Istruzione e del Merito e dalle Istituzioni Scolastiche nell’ambito della Piattaforma” e per il tramite del quale sono stati attivati specifici servizi digitali quali, in particolare, E-Portfolio, Docente Tutor e Gite Scolastiche, su cui il Garante ha reso il parere con provv. n. 468 del 10 ottobre 2023 (disponibile sul sito istituzionale www.gpdp.it, doc. web n. 9953443);

VISTO in particolare, l’articolo 11, comma 4, del Decreto Ministeriale n. 192/23, secondo cui «Con appositi decreti ministeriali di natura non regolamentare, il MIM, sentito il Garante per la protezione dei dati personali, provvederà, come previsto all’articolo 5, comma 6, del presente Decreto, a integrare e implementare nella Piattaforma: (i) i Servizi Digitali già erogati dal Ministero e dalle Istituzioni Scolastiche con applicativi diversi dalla Piattaforma medesima; (ii) i Servizi Digitali di nuova introduzione»;

VISTO altresì, il Decreto Ministeriale del 18 giugno 2024, n. 124, concernente la disciplina sul trattamento dei dati personali effettuato dal MIM e dalle Istituzioni Scolastiche nell’ambito dell’abilitazione di nuove utenze ai fini dell’accesso all’area privata della Piattaforma e del servizio digitale «Knowledge Area», su cui il Garante ha reso il parere con provv. n. 334 del 6 giugno 2024 (doc. web n. 10036855);

VISTA la nota del 28 luglio 2025 con cui il Ministero dell’Istruzione e del Merito ha trasmesso all’Autorità, ai fini dell’acquisizione del parere di competenza, lo schema di decreto ministeriale, adottato ai sensi dell’articolo 11, comma 4, del Decreto Ministeriale 10 ottobre 2023, n. 192, concernente “l’implementazione di un servizio digitale in materia di Intelligenza Artificiale nell’ambito della Piattaforma Unica di cui all’articolo 21, commi 4-ter e seguenti, del decreto-legge del 22 giugno 2023, n. 75, convertito, con modificazioni, dalla legge del 10 agosto 2023, n. 112” a cui sono allegate le “Linee guida per l’introduzione dell’Intelligenza Artificiale nelle Istituzioni scolastiche” (di seguito, Linee guida);

RILEVATO che il suddetto schema di decreto stabilisce, in particolare:

- che nell’ambito della Piattaforma Unica è implementato un Servizio Digitale mediante il quale, il Ministero, nell’ambito delle proprie funzioni di indirizzo e governo generale del sistema nazionale di istruzione e formazione, rende disponibili specifici contenuti e documenti informativi sull’IA, tra i quali apposite Linee Guida in materia di Intelligenza Artificiale, nonché una mappa delle sperimentazioni avviate dalle singole Istituzioni Scolastiche in materia, al fine di supportare le stesse nei possibili impieghi dell’IA e favorire l’acquisizione, da parte di studenti, studentesse e genitori/esercenti la responsabilità genitoriale, delle necessarie conoscenze digitali, al fine di poter godere dei benefici offerti dall’IA  e orientare le nuove generazioni verso un uso attento e consapevole delle nuove tecnologie (articolo 1);

- le modalità di accesso al Servizio Digitale (articoli 2 e 3);

- le Sezioni di cui si compone il Servizio Digitale e le relative funzionalità (articoli 4, 5, 6);

- i soggetti coinvolti nel trattamento dei dati personali e il ruolo svolto, prevedendo che il MIM è titolare del trattamento dei dati personali degli Utenti trattati nell’ambito della procedura di identificazione e autenticazione informatica nell’area privata della Piattaforma, restando ferma la responsabilità delle Istituzioni Scolastiche in merito alle informazioni di propria competenza che sono inserite nell’ambito della Sezione «Progetti IA», nonché la responsabilità per la loro esattezza, correttezza e aggiornamento (articolo 7);

- il MIM promuove un uso etico e trasparente dell’IA, garantendo il rispetto dei principi in materia di IA indicati all’interno degli «Orientamenti etici per un’IA affidabile» dell’8 aprile 2019 e richiamati dal Regolamento (UE) 2024/1689 citato. In ogni caso, sono oggetto di trattamento i soli dati personali comuni degli Utenti, acquisiti in fase di autenticazione all’area privata della Piattaforma e indicati all’interno dell’Allegato Tecnico al D.M. n. 192/2023 (articolo 8);

- il rispetto dei principi in materia di protezione dei dati personali e misure di sicurezza (articolo 9);

- con appositi decreti ministeriali di natura non regolamentare, il MIM provvederà a disciplinare nel dettaglio le modalità con le quali le Istituzioni Scolastiche dovranno progettare e realizzare le singole iniziative di IA, in conformità alla disciplina in materia di protezione dei dati personali e di IA, le iniziative di formazione che saranno attivate a favore delle Istituzioni Scolastiche in materia di IA, al fine di garantire un uso consapevole e responsabile dei sistemi di IA in ambito scolastico, gli ulteriori elementi volti a garantire che l’implementazione dei sistemi di IA da parte delle Istituzioni Scolastiche avvenga nel pieno rispetto dei diritti e dei valori sanciti dalla Carta dei diritti fondamentali dell’Unione europea e l’aggiornamento delle Linee Guida adottate con il Decreto in esame, nonché i modelli documentali alle medesime allegati (articolo 10);

RILEVATO, inoltre, che le linee guida allegate allo schema di decreto in esame, prevedono, in sintesi:

- gli obiettivi che il MIM intende perseguire con l’introduzione delle tecnologie di IA in ambito scolastico affinché diventino uno strumento per rafforzare la competitività del sistema educativo, preservandone la qualità, promuovendo l’equità e invitando studenti e Istituzioni scolastiche a sfruttare le potenzialità dell’IA con la giusta consapevolezza (paragrafo 1);

- i principi a sostegno dell’introduzione dell’IA, tra cui la “centralità della persona”, la “tutela dei diritti e delle libertà fondamentali” e la “sicurezza dei sistemi e modelli di IA” (paragrafo 2);

- i requisiti etici, tecnici e normativi necessari per assicurare un’adozione responsabile e sicura delle tecnologie di IA (paragrafo 3);

- le istruzioni operative e gli strumenti di accompagnamento per introdurre l’IA negli Istituti scolastici (paragrafo 4);

CONSIDERATO, in primo luogo, che i trattamenti di dati personali per compiti di interesse pubblico devono essere effettuati esclusivamente nel perseguimento delle finalità istituzionali dei rispettivi titolari del trattamento nel quadro della normativa di settore applicabile, che ne costituisce la base giuridica definendo presupposti, condizioni, modalità, limiti e misure a tutela dei diritti e delle libertà fondamentali delle persone, anche tenuto conto della natura dei dati trattati, del contesto, degli specifici strumenti che si intende utilizzare nonché dei rischi per gli interessati, nel rispetto dei principi generali di protezione dei dati personali e, in particolare, di quelli di liceità, correttezza e trasparenza e di limitazione della finalità (cfr. art. 5, par. 1, lett. a) e b), e art. 6, parr. 1, lett. e), e 3 del Regolamento, nonché art. 2-ter del Codice; inoltre, laddove il trattamento abbia a oggetto categorie particolari di dati personali o dati personali relativi a condanne penali o reati, cfr. artt. 9 e 10 del Regolamento e artt. 2-sexies e 2-octies del Codice);

CONSIDERATO, inoltre, che, laddove tale trattamento comporti l’utilizzo di sistemi di IA, come pure prefigurato, occorre che siano altresì assicurati una piena trasparenza nei confronti degli interessati nonché il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona (cfr. spec. art. 5, par. 1, lett. a), e artt. 12, 13, 14 e 22 del Regolamento);

CONSIDERATO, in ogni caso, che la versione dello schema di decreto in esame, con particolare riferimento ai principi di privacy by design e by default (art. 25 del Regolamento), tiene conto anche delle osservazioni fornite dall’Ufficio nel corso delle interlocuzioni informali intercorse, che hanno riguardato, in particolare:

- la rigorosa osservanza dei divieti concernenti le pratiche vietate di cui all’art. 5 del Regolamento sull’IA (come quelle preordinate al riconoscimento delle emozioni, c.d. strumenti di sentiment analysis, con particolare riferimento al contesto scolastico o lavorativo: cfr. spec. le Commission Guidelines on prohibited artificial intelligence practices established by Regulation (EU) 2024/1689 (AI Act) del 4 febbraio 2025);

- il rispetto delle misure previste dal Regolamento sull’IA in relazione all’impiego di sistemi di IA ad alto rischio, con particolare riferimento a quelli, richiamati dall’art. 6, par. 2, indicati nell’Allegato III al n. 3;

- le garanzie di trasparenza che gli Istituti medesimi sono tenuti ad assicurare nei confronti degli interessati, anche nel rispetto di quanto previsto dalla disciplina di settore in materia di IA;

- la definizione di ruoli e responsabilità dei soggetti istituzionali coinvolti nella gestione dei sistemi di IA, anche in qualità di titolari del trattamento ai fini della contestuale applicazione della disciplina di protezione dei dati personali, con particolare riferimento al rispetto del principio di liceità, correttezza e trasparenza (art. 5, par. 1, lett. a), del Regolamento);

- la previsione di utilizzare solamente laddove strettamente indispensabili, i dati personali riferibili a studenti e docenti ricorrendo ove possibile all’utilizzo di dati sintetici, prevedendo l’impiego di configurazioni che impediscano la conservazione dei prompt, la profilazione o il tracciamento degli studenti, nel rispetto del principio di minimizzazione dei dati (art. 5, par. 1, lett. c), del Regolamento);

- la necessità di assicurare la trasparenza dei trattamenti di dati personali effettuati da parte degli Istituti scolastici mediante sistemi di IA, con particolare riguardo all'impatto sui diritti e sulle libertà fondamentali degli interessati, nel rispetto del principio di liceità, correttezza e trasparenza (art. 5, par. 1, lett. a), del Regolamento);

- la necessità di prevedere attività formativa adeguata, audit o valutazioni periodiche volti a verificare l’affidabilità, la trasparenza e la correttezza del funzionamento dei sistemi utilizzati, nonché di valutare l’adozione di misure tecniche e organizzative adeguate al contesto senza contemplare aprioristicamente un elenco predefinito e limitato di misure, nel rispetto del principio di integrità e riservatezza (art. 5, par. 1, lett. f), del Regolamento);

RITENUTO, alla luce di quanto osservato, di poter esprimere parere favorevole sullo schema di decreto in esame, che reca in allegato le “Linee guida per l’introduzione dell’Intelligenza Artificiale nelle Istituzioni scolastiche”;

RITENUTO, inoltre, che spetta ai soggetti che svolgono attività di trattamento dei dati personali, nel rispetto della cornice di liceità sopra richiamata, adottare le misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato agli specifici rischi per gli interessati nel delicato contesto scolastico ed educativo, a valle della valutazione d’impatto svolta anche alla luce delle valutazioni formulate dai soggetti a vario titolo coinvolti (art. 35 del Regolamento), in ossequio al principio di accountability (artt. 5, par. 2, e 24 del Regolamento);

RITENUTO, infine, che, impregiudicati gli specifici requisiti e garanzie che derivano dall’applicazione del quadro normativo in materia di IA, quando l’utilizzo di sistemi di IA comporta il trattamento di dati personali, occorre garantire, anche alla luce della previsione contenuta nell’art. 2, par. 7 del Regolamento UE 2024/1689, il contestuale rispetto della disciplina in materia di protezione dei dati personali e l’applicazione delle garanzie ivi previste a tutela dei diritti e delle libertà fondamentali delle persone, la cui osservanza è assicurata dal Garante per la protezione dei dati personali nell’esercizio dei compiti e poteri attribuitigli dal Regolamento;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 36, par. 4, e 58, par. 3, lett. b), del Regolamento, esprime parere favorevole sullo schema di decreto ministeriale del Ministero dell’istruzione e del Merito, adottato ai sensi dell’articolo 11, comma 4, del Decreto Ministeriale 10 ottobre 2023, n. 192, concernente “l’implementazione di un servizio digitale in materia di Intelligenza Artificiale nell’ambito della Piattaforma Unica di cui all’articolo 21, commi 4-ter e seguenti, del decreto-legge del 22 giugno 2023, n. 75, convertito, con modificazioni, dalla legge del 10 agosto 2023, n. 112” e le “Linee guida per l’introduzione dell’Intelligenza Artificiale nelle Istituzioni scolastiche” allegate.

Roma, 4 agosto 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE 
Fanizza

23/10/2025 n° 626
Area: Prassi, Circolari, Note

[doc. web n. 10195414]

Provvedimento del 23 ottobre 2025

Registro dei provvedimenti
n. 626 del 23 ottobre 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Angelo Fanizza, Segretario Generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. Il reclamo.

Con reclamo presentato all’Autorità, i sig.ri XX e XX, per il tramite del proprio legale, hanno rappresentato che l’Istituto d’Istruzione Superiore “Statista Aldo Moro” di Fara Sabina (di seguito “l’Istituto”) avrebbe pubblicato, sul sito web istituzionale, “la nota protocollo […]” relativa alla convocazione di un consiglio di classe straordinario riferito al “procedimento disciplinare” previsto nei confronti del proprio figlio.

È stato inoltre rappresentato che il legale dei reclamanti, con nota trasmessa via PEC il XX, “diffidava l’Istituto scolastico dalla rimozione della citata nota pubblicata sul sito web il XX e ancora presente alla data del XX” e che a “tale missiva non veniva fornito riscontro alcuno”.

2. L’attività istruttoria.

Con nota del XX (prot. n. XX) e nota del XX (prot. n. XX) l’Istituto ha fornito riscontro alle richieste di informazioni formulate dall’Autorità in data XX (prot. n. XX) e in data XX (prot. n. XX), alle quali si rinvia integralmente, rappresentando, in particolare, che:

- “la nota protocollo […]" per la convocazione di un Consiglio di classe riferito al "procedimento disciplinare" previsto nei confronti del figlio dei sigg. XX e XX è stata effettivamente pubblicata sul sito della scuola recando nell'intestazione il nome dello studente”;

- “la pubblicazione del nome è stato un grave errore commesso dalla scuola. Che si tratti di un errore è dimostrato dal fatto che la circolare alla quale l'intestazione col nome si riferisce non contiene al suo interno alcun elemento identificativo dello studente. Sarebbe assurdo evitare di scrivere nella circolare il nome dello studente e poi usarlo nell'intestazione”;

- “in sostanza, il sottoscritto è venuto a sapere della presenza di un file che violava il diritto alla riservatezza di uno studente il giorno stesso dell'arrivo della diffida presentata dall'avvocato”;

- “nessun riscontro è stato fornito alla missiva solo perché pochi minuti dopo il suo ricevimento da parte dell'Istituto, la circolare con l'intestazione del nome dello studente è stata rimossa;

- “la nota è rimasta visibile per l'arco temporale che va dal XX al XX”;

- “quando viene convocato un consiglio di classe disciplinare, la convocazione avviene in forma assolutamente anonima: nessun dato identificativo è collocato nel testo o nel nome del file. Inoltre, la convocazione viene resa visibile esclusivamente al consiglio di classe interessato”;

- “dagli Atti risulta che il personale sia stato istruito attraverso formazione specifica ed abbia ricevuto le lettere di incarico e le relative istruzioni;

- “analoga formazione, […] è prevista anche per questo anno scolastico per il personale di nuova nomina, dando sempre risalto al Regolamento in essere a far data dal XX”;

- “non risulta agli Atti documentazione in merito alle azioni intraprese dall’IIS Statista Aldo Moro relativamente alla designazione di un DPO precedentemente alla data del XX”.

Sulla base degli elementi acquisiti, l’Ufficio ha notificato, con nota del XX (prot. n. XX), all’Istituto, in qualità di titolare del trattamento, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, in quanto l’Istituto ha pubblicato sul sito web istituzionale, una nota relativa alla convocazione di un consiglio di classe straordinario riferito al “procedimento disciplinare” previsto nei confronti del figlio dei reclamanti, recante nella denominazione del file, il cognome dello studente, in violazione degli artt. 5, par. 1, lett. a) e 6 del Regolamento e 2-ter del Codice;  non avendo l’Istituto fornito riscontro alla richiesta di esercizio dei diritti formulata dagli interessati, in violazione dell’art. 12 del Regolamento e non avendo l’Istituto provveduto a designare un DPO fino alla data del XX, in violazione dell’art. 37, parr. 1 e 7 del Regolamento.

Pertanto l’Ufficio ha invitato il predetto titolare a produrre scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981).

Con note del XX e XX (prot. n. XX e XX) la dirigente scolastica dell’Istituto ha fatto pervenire le memorie difensive, alle quali si rinvia integralmente, rappresentando, in particolare:

- di “essere in servizio presso l'IIS STATISTA ALDO MORO dal XX, dopo ben tre Dirigenti Scolastici susseguitisi dopo l'evento oggetto di reclamo”;

- di aver preso visione della documentazione “agli atti della SCUOLA relativ[a] al Reclamo” e di aver contattato il DPO e ascoltato i referenti del sito;

- che “La circolare […] oggetto di contestazione non presenta il nome dello studente, […] presente solo nel nome del file PDF;

- che “dopo la segnalazione/diffida si è ritirato il file immediatamente dal sito e si è cercata una piattaforma che NON avesse l'inserimento automatico dei file, ma che permettesse agli operatori autorizzati all'inserimento dei dati sulla piattaforma di inserirli manualmente e con modalità più semplici.

Nel corso dell’audizione tenutasi in data XX (v. verbale prot. n. XX della medesima data, in atti), l’Istituto ha dichiarato, in particolare, che:

- “la dirigente scolastica è in servizio da XX, è stato quindi ricostruito il fascicolo e la vicenda in esame seppur avvenuta precedentemente l’incarico e si è verificato che nel file, contenente la circolare di convocazione del consiglio di classe straordinario per motivi disciplinari, compariva solo nell’oggetto del file (non nella circolare) il cognome ma non il nome di battesimo dell’interessato. Per quanto concerne la pubblicazione sul sito istituzionale del documento in esame, all’epoca si usava una piattaforma che compilava in automatico i campi della pubblicazione, dopo il reclamo la piattaforma è stata cambiata ed attualmente è previsto l’inserimento manuale del campo relativo alla pubblicazione;

- “la scuola è venuta a conoscenza della pubblicazione solo dopo aver ricevuto la lettera dell’avvocato nominato dall’interessato e ha rimosso immediatamente il file”;

- “in un momento successivo al reclamo si è provveduto a nominare il RPD, probabilmente la mancata nomina è dipesa dalla scarsezza dei fondi a disposizione dell’Istituto”;

- “l’Istituto gestisce molti studenti (circa 700) e un gran numero di personale (circa 200), il dirigente all’epoca dei fatti aveva la reggenza di due Istituti, questo ha potuto indurre a una disattenzione”.

3. Esito dell’attività istruttoria.

3.1 Normativa applicabile.

Il quadro normativo in materia di protezione dei dati previsto dal Regolamento dispone che il trattamento di dati personali da parte di soggetti pubblici è lecito se necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri” (art. 6, paragrafo 1, lett. c) ed e), paragrafi 2 e 3 del Regolamento; art 2-ter del Codice.

La base giuridica dei predetti trattamenti deve essere stabilita dal diritto dell’Unione o dello Stato membro, che deve perseguire “un obiettivo di interesse pubblico [e deve essere] proporzionato all'obiettivo” (art. 6, par. 3, del Regolamento).

In tale contesto, è sancito che “gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del […] regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto […]” (art. 6, par. 2, del Regolamento).

Il Codice ha stabilito che “la base giuridica prevista dall’articolo 6, paragrafo 3, lettera b), del Regolamento è costituita da una norma di legge o di regolamento o da atti amministrativi generali” (art. 2-ter, comma 1).

In particolare, le operazioni di trattamento che consistono nella “diffusione” e “comunicazione” di dati personali sono ammesse solo quando previste da una norma di legge, regolamento o atti amministrativi generali (art. 2-ter, comma 3 del Codice).

Il titolare del trattamento è in ogni caso tenuto a rispettare i principi in materia di protezione dei dati, tra cui quello di “liceità, correttezza e trasparenza” in base al quale i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato (art. 5, par. 1, lett. a) del Regolamento).

Con riguardo alla figura del RPD, il Regolamento prevede che “Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta: a) il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali” (art. 37, par. 1, lett. a) del Regolamento).

Il titolare del trattamento è, altresì, tenuto a pubblicare i dati di contatto del RPD e a comunicare gli stessi all'autorità di controllo (art. 37, par. 7, del Regolamento; cfr. il “Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico” allegato al provv. 29 aprile 2021, n. 186, doc. web n. 9589104, nonché le “Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico”, del 15 dicembre 2017, doc. web n. 7322110).

3.2 Il trattamento di dati personali effettuato dall’Istituto.

Dagli elementi acquisiti e dai fatti emersi nel corso dell’attività istruttoria e dalle successive valutazioni in relazione alla vicenda oggetto di reclamo, risulta che l’Istituto ha pubblicato, sul sito web istituzionale, una circolare relativa alla convocazione di un consiglio di classe straordinario riguardante il procedimento disciplinare previsto nei confronti del figlio dei reclamanti.

Tale circolare, pur non riportando all’interno del documento l’indicazione del nominativo dell’interessato, recava nella denominazione del documento, consultabile online, nella pagina “Elenco Circolari di Istituto A.S. XX” recante i titoli delle circolari stesse, il cognome dell’alunno stesso.

Nell’ambito dell’istruttoria, l’Istituto ha confermato che tale pubblicazione si è protratta dal XX al XX, data in cui l’Istituto, a seguito della segnalazione del legale dei reclamanti, ha provveduto alla rimozione del documento pubblicato online.

Ciò premesso, si osserva che il Garante ha avuto modo di intervenire, in numerose occasioni, sul tema delle “comunicazioni scolastiche”. In tale ambito l’Autorità ha chiarito che “Il diritto–dovere di informare le famiglie sull’attività e sugli avvenimenti della vita scolastica deve essere sempre bilanciato con l’esigenza di tutelare la personalità dei minori. È quindi necessario evitare di inserire, nelle circolari e nelle comunicazioni scolastiche non rivolte a specifici destinatari, dati personali che rendano identificabili, ad es., gli alunni coinvolti in casi di bullismo o destinatari di provvedimenti disciplinari o interessati in altre vicende particolarmente delicate” (vedi, da ultimo, La scuola a prova di privacy - Vademecum ed. 2023, disponibile sul sito web del Garante: www.garanteprivacy.it, doc web n. 9886884, vedi anche le FAQ “Scuola e privacy - Domande più frequenti”, consultabili all’indirizzo FAQ - Scuola e privacy - Garante Privacy, in part. FAQ n. 7).

In particolare, con riferimento al caso di specie, si osserva che, sebbene all’interno della circolare non fosse riportato il nominativo dell’interessato, l’indicazione dello stesso nella denominazione del documento ha, di fatto, determinato, ancorché per effetto di un mero errore materiale, la diffusione di informazioni personali relative al procedimento disciplinare previsto nei confronti dell’alunno, in assenza di un idoneo presupposto normativo.

A tal riguardo, si rammenta, inoltre, che i minori, in considerazione della loro particolare “vulnerabilità”, meritano una specifica protezione in relazione ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze, nonché dei loro diritti in relazione al trattamento dei dati (cfr. cons. 38 del Regolamento).

Per tali ragioni l’Istituto ha dato luogo, in assenza di idoneo presupposto di liceità, a una diffusione illecita di dati personali a terzi in violazione degli artt. 5, par. 1, lett. a) e 6, parr. 1, lett. c) ed e), 2 e 3 del Regolamento e 2-ter, commi 1 e 3, del Codice (con riferimento alla pubblicazione di dati personali relativi ad alunni da parte di istituti scolastici cfr. Provvedimento 9 luglio 2020, n. 140, doc. web n. 9451734; Provvedimento 13 aprile 2023, n. 185, doc. web n. 9902516; Provvedimento 6 luglio 2023, n. 288, doc. web n. 9920274; Provvedimento 13 marzo 2025, n. 134, doc. web n. 10127792; Provvedimento 10 luglio 2025, n. 410 doc. web n. 10162731).

3.3 La nomina del responsabile della protezione dei dati

Dagli elementi acquisiti e dai fatti emersi nel corso dell’attività istruttoria e dalle successive valutazioni in relazione alla vicenda oggetto di reclamo, risulta che l’Istituto, fino al mese di XX, non aveva provveduto a nominare il RPD e quindi a comunicare i dati di contatto all’Autorità.

Al riguardo, si rammenta che il Regolamento prevede che il RPD deve essere obbligatoriamente designato dal titolare del trattamento “quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico” (art. 37, par. 1, del Regolamento).

Inoltre, nelle Linee-guida sui responsabili della protezione dei dati (RPD), adottate dal Gruppo di lavoro articolo 29 in materia di protezione dei dati personali il 13 dicembre 2016 ed emendate il data 5 aprile 2017, si aggiunge che “Nel regolamento non si rinviene alcuna definizione di “autorità pubblica” o “organismo pubblico”. Il WP29 ritiene che tale definizione debba essere conforme al diritto nazionale; conseguentemente, sono autorità pubbliche o organismi pubblici le autorità nazionali, regionali e locali ma, a seconda del diritto nazionale applicabile, la nozione ricomprende anche tutta una serie di altri organismi di diritto pubblico.12 In questi casi la nomina di un RPD è obbligatoria” (par. 2.1.1), e che “L’articolo 37, settimo paragrafo, del RGPD impone al titolare o al responsabile del trattamento di pubblicare i dati di contatto del RPD, e di comunicare i dati di contatto del RPD alle pertinenti autorità di controllo. Queste disposizioni mirano a garantire che tanto gli interessati (all’interno o all’esterno dell’ente/organismo titolare o responsabile) quanto le autorità di controllo possano contattare il RPD in modo facile e diretto senza doversi rivolgere a un’altra struttura operante presso il titolare/responsabile” (par. 2.6).

Anche il Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico, adottato dal Garante il 29 aprile 2021 con provvedimento n. 186 (doc. web n. 9589104), precisa che “sussiste l’obbligo di designazione per tutti i soggetti pubblici, ai sensi della lett. a) dell’art. 37, par. 1, del Regolamento, quali, ad esempio: le amministrazioni dello Stato, anche con ordinamento autonomo, compresi gli istituti scolastici; gli enti pubblici non economici nazionali, regionali e locali; le Regioni e gli enti locali; le Università; le Camere di commercio, industria, artigianato e agricoltura; le Aziende del Servizio sanitario nazionale; le Autorità indipendenti (cfr., a valenza meramente indicativa e non esaustiva, l’elenco di cui all’art. 1, comma 2, del d.lgs. 30 marzo 2001, n. 165)” (par. 3), che “Per quanto concerne la pubblicazione, questa dovrà essere effettuata sul sito web dell’amministrazione, all’interno di una sezione facilmente riconoscibile dall’utente e accessibile già dalla homepage, oltre che nell’ambito della sezione dedicata all’organigramma dell’ente ed ai relativi contatti”, e che “Per quanto concerne la comunicazione all’Autorità, si evidenzia che il Garante ha reso disponibile un’apposita procedura online non solo per la comunicazione, ma anche per la variazione e la revoca del nominativo del RPD designato. Tale procedura rappresenta l’unico canale di contatto utilizzabile a questo specifico fine ed è reperibile alla pagina https://servizi.gpdp.it/comunicazionerpd/s/, ove sono riportate anche le apposite istruzioni e le relative FAQ: peraltro, si richiama l’attenzione degli enti a inserire correttamente i dati richiesti, come l’individuazione del titolare del trattamento (l’ente complessivamente inteso, e non il legale rappresentante) e la compilazione del codice fiscale dell’amministrazione (e non della partita IVA, ovvero del codice fiscale di altro soggetto)” (par. 7).

Nel corso dell’istruttoria è emerso che l’Istituto, ha provveduto a nominare il RPD e ad effettuare la comunicazione all’Autorità dei dati di contatto dello stesso in data XX, successivamente all’avvio del procedimento, agendo pertanto in violazione dell’art. 37, parr. 1 e 7, del Regolamento (cfr. Provvedimento n. 697 del 14 novembre 2024, doc. web n. 10085757; Provvedimento n. 698 del 14 novembre 2024, doc. web n. 10085732; Provvedimento n. 5 del 16 gennaio 2025, doc. web n. 10110910; Provvedimento n. 6 del 16 gennaio 2025, doc. web n. 10110989; Provvedimento n. 318 del 4 giugno 2025, doc. web n. 10163000, Provvedimento n. 384 del 10 luglio 2025, doc. web n. 10161611).

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, tenuto conto delle dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ gli elementi forniti dal titolare del trattamento consentono solo in parte di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, potendo procedere con l’archiviazione del presente procedimento, ai sensi del combinato disposto di cui agli artt. 11 e 14 del regolamento del Garante n. 1/2019, solamente con riferimento alla violazione dell’art. 12 del Regolamento, in relazione al mancato riscontro alla diffida relativa alla rimozione della circolare in esame, presentata dai reclamanti.

Ciò in ragione del fatto che l’Istituto, in buona fede, avendo provveduto tempestivamente alla rimozione richiesta, non ha ritenuto di dover fornire riscontro formale agli interessati, anche tenuto conto che la diffida non era formalmente qualificata come “esercizio dei diritti” presentata ai sensi dell’art. 12 del Regolamento.

Quanto al resto, si confermano le valutazioni preliminari dell'Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dall’Istituto, per la pubblicazione della circolare oggetto di reclamo in violazione degli artt. 5, par. 1, lett. a) e 6, parr. 1, lett. c) ed e), 2 e 3 del Regolamento e 2-ter, commi 1 e 3, del Codice e per la mancata nomina del RPD fino al mese di XX, in violazione dell’art. 37, par. 1 del Regolamento e mancata comunicazione dei dati di contatto dello stesso all’Autorità in violazione dell’art. 37, par. 7 del Regolamento.  

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

Considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, avendo l’Istituto scolastico provveduto a rimuovere la richiamata circolare sul sito web istituzionale e avendo provveduto a nominare il RPD e comunicare i dati di contatto dello stesso all’Autorità, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art.
58, par. 2, del Regolamento.

5. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Nel caso di specie, l’Istituto ha posto in essere due distinte condotte, che devono essere considerate separatamente ai fini della quantificazione della sanzione amministrativa da applicarsi.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

5.1 La condotta che attiene al trattamento dei dati personali effettuato dall’Istituto.

La violazione degli artt. 5, par. 1, lett. a) e 6, parr. 1, lett. c) ed e), 2 e 3 del Regolamento e 2-ter, commi 1 e 3, del Codice è soggetta alla sanzione prevista dall’art. 83, par. 3, del Regolamento, ai sensi del quale l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave. Considerato che, nel caso di specie, le violazioni relative agli degli artt. 5, par. 1, lett. a) e 6, parr. 1, lett. c) ed e), 2 e 3 del Regolamento e 2-ter, commi 1 e 3, del Codice sono soggette alla sanzione prevista dall’art. 83, par. 5, del Regolamento, come richiamato anche dall’art. 166, comma 2, del Codice, l’importo totale della sanzione è da quantificarsi fino a euro 20.000.000.

Osservato che:

la circolare oggetto del reclamo è stata pubblicata sul sito istituzionale dell’Istituto per un periodo di tempo limitato dal XX al XX (cfr. art. 83, par. 2, lett. a), del Regolamento);

l’indicazione, nella denominazione della circolare, del cognome dell’interessato è dovuta ad un mero errore materiale, dimostrato dal fatto che la circolare non contiene al suo interno il nominativo dello studente (cfr. art. 83, par. 2, lett. a) e b), del Regolamento);

il trattamento non ha riguardato dati personali appartenenti alle categorie particolari di cui all’art. 9 del Regolamento (cfr. art. 83, par. 2, lett. g), del Regolamento);

si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Ciò premesso, nel considerare che il titolare del trattamento è un Istituto scolastico e, pertanto, un soggetto di ridotte dimensioni pertanto, dotato di limitate risorse economiche si ritiene che, ai fini della quantificazione della sanzione, debbano essere prese in considerazione le seguenti circostanze:

il titolare del trattamento ha provveduto a rimuovere la circolare appena avuto contezza dell’erronea pubblicazione (art. 83, par. 2, lett. c), del Regolamento);

non risultano precedenti violazioni pertinenti commesse dal titolare del trattamento (art. 83, par. 2, lett. e), del Regolamento);

il grado di cooperazione manifestato dal titolare con l'autorità di controllo (art. 83, par. 2, lett. f) del Regolamento).

In considerazione di tutto quanto sopra esposto, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 2.000 (duemila) per la violazione violazioni degli artt. 5, par. 1, lett. a) e 6, parr. 1, lett. c) ed e), 2 e 3 del Regolamento e 2-ter, commi 1 e 3, del Codice, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Ciò in considerazione del fatto che la pubblicazione ha ad oggetto dati personali relativi ad un minore e pertanto ad un soggetto particolarmente vulnerabile.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

5.2 La condotta che attiene alla tardiva nomina del responsabile della protezione dei dati

La violazione dell’art. 37, parr. 1 e 7 del Regolamento è soggetta alla sanzione prevista dall’art. 83, par. 4, del Regolamento, e, pertanto, l’importo totale della sanzione è da quantificarsi fino a euro 10.000.000.

Osservato che:

- l’Istituto ha nominato il RPD e ha comunicato i relativi dati di contatto all’Autorità solo a seguito dell’intervento del Garante. La mancata comunicazione dei dati di contatto del RPD all’Autorità ha inciso negativamente sulla possibilità che l’Autorità contattasse il medesimo RPD in modo facile e diretto (cfr. art. 83, par. 2, lett. a), del Regolamento);

-  il carattere colposo della violazione (cfr. art. 83, par. 2, lett. b), del Regolamento);

si ritiene che, nel caso di specie, il livello di gravità della violazione commessa dal titolare del trattamento sia medio (cfr. Comitato europeo per la protezione dei dati, “Linee guida 4/2022 sul calcolo delle sanzioni amministrative pecuniarie ai sensi del GDPR” del 24 maggio 2023, punto 60).

Di contro, si osserva che l’Istituto è un soggetto di ridotte dimensioni dotato, pertanto, di limitate risorse economiche. Si tiene conto, altresì, che:

l’Istituto si è attivato al fine di porre rimedio alla violazione (art. 83, par. 2, lett. c), del Regolamento);

non risultano a carico della stessa precedenti violazioni pertinenti commesse o precedenti provvedimenti di cui all’art. 58 del Regolamento (art. 83, par. 2, lett. e), del Regolamento).

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 2.000 (duemila) per la violazione dell’art. 37, commi 1 e 7 del Regolamento, quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito web del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e dall’art. 16 del regolamento del Garante n. 1/2019, trattandosi del ritardato assolvimento ad adempimenti divenuti obbligatori fin dal 2018.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi degli artt. 57, par. 1, lett. f), e 83 del Regolamento, l’illiceità del trattamento effettuato dall’Istituto d’Istruzione Superiore “Statista Aldo Moro” di Fara Sabina (RI)), nei termini di cui in motivazione, degli artt. 5, par. 1, lett. a) e 6, parr. 1, lett. c) ed e), 2 e 3, 37, parr. 1 e 7 del Regolamento e 2-ter, commi 1 e 3, del Codice;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, l’Istituto d’Istruzione Superiore “Statista Aldo Moro” di Fara Sabina (RI) con sede in Viale della Gioventù, 30 02032, Fara in Sabina (RI) - Codice Fiscale: 90021480570, di pagare la complessiva somma di euro 4.000,00 (quattromila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

all’Istituto d’Istruzione Superiore “Statista Aldo Moro” di Fara Sabina:

- di pagare la complessiva somma di euro 4.000,00 (quattromila/00) in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

DISPONE

- ai sensi dell'art. 166, comma 7, del Codice e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, la pubblicazione dell'ordinanza ingiunzione sul sito internet del Garante;

- ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento.

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero. 

Roma, 23 ottobre 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Fanizza

04/02/2020 n° 1298
Area: Prassi, Circolari, Note

MINISTERO DELL'ISTRUZIONE

UFFICIO SCOLASTICO REGIONALE PER LA TOSCANA

DIREZIONE GENERALE

Ai dirigenti scolatici delle

Istituzioni scolastiche della Toscana e,

p.c. Ai dirigenti degli Uffici di Ambito territoriale

Oggetto: Procedimenti disciplinari nei confronti del personale docenteed educativo.Competenza e aspetti procedurali.  Fattispecie disciplinare della “Sospensione dall’insegnamento fino ad un mese” art. 494 D.L. vo n. 297 /1994 -  PRECISAZIONE -

Anche  alla  luce  delle  recenti  pronunce  giurisprudenziali  (Ordinanza  n.28111/2019  del  31  ottobre  2019  e  Ordinanza  n.30226/2019  del  20/11/2019 emesse  dalla  Corte  di  Cassazione),  si  fa presente che la competenza all’applicazione della  specifica sanzione disciplinare di  cui all’oggetto è in capo agli  Uffici per i Procedimenti Disciplinari costituiti presso ciascun ambito territoriale e non di competenza della dirigenza scolastica.

Pertanto,  qualora   ricorrano  le  condizioni  per  l’avvio  di  un  procedimento  disciplinare,    per  cui  sarebbe applicabile la fattispecie disciplinare in oggetto,  le SS.LL  sono tenute a trasmettere, entro 10 giorni, al competente Ufficio procedimenti disciplinari  il relativo  fascicolo, ai sensi del comma 4, primo periodo, dell’articolo 55bis D.Lgs. 165/2001.

Per gli eventuali procedimenti disciplinari ancora in corso, relativi alla suddetta fattispecie disciplinare, si prega segnalare i relativi casi all’Ufficio I di questa Direzione Generale.

IL DIRETTORE GENERALE

Ernesto PELLECCHIA

Firmato digitalmente da

PELLECCHIA ERNESTO

15/03/2007 n° 30
Area: Prassi, Circolari, Note

MINISTERO DELLA PUBBLICA ISTRUZIONE

Prot.  n. 30/dip./segr.

 
Ai Direttori Generali Regionali Loro Sedi Ai Dirigenti degli Uffici scolastici provinciali Loro Sedi
 
Al Sovrintendente Scolastico per la Provincia di Bolzano
 
Al Sovrintendente Scolastico per la Provincia di Trento
 
All’Intendente Scolastico per la Scuola in lingua tedesca  Bolzano  
 
All’Intendente Scolastico per la Scuola Localit Ladine  Bolzano
 
Al Sovrintendente degli studi per la Regione Valle D’Aosta  Aosta
 
Per conoscenza: Ai dirigenti delle istituzioni  scolastiche autonome

OGGETTO: linee di indirizzo ed indicazioni in materia di utilizzo di telefoni cellulari e di altri dispositivi elettronici durante lattivit didattica, irrogazione di sanzioni disciplinari,  dovere di vigilanza e di corresponsabilit dei genitori e dei docenti.
 
I recenti fatti di cronaca che hanno interessato la scuola, dalla trasgressione delle più banali regole di convivenza sociale (uso improprio dei telefonini cellulari e altri comportamenti di disturbo allo svolgimento delle lezioni) fino agli episodi di bullismo e di violenza, riguardano situazioni che, seppure enfatizzate dai media, non devono essere sottovalutate. Rappresentano infatti il rischio del dilagare di un processo di progressiva caduta sia di una cultura del rispetto delle regole che della consapevolezza che la libert dei singoli debba trovare un limite nella libert degli altri. 

Di fronte a ciò la scuola è una risorsa fondamentale in quanto assume il ruolo di luogo di crescita civile e culturale per  una piena valorizzazione della persona, rafforzando l'esistenza di una comunità educante in cui ragazzi e adulti, docenti e genitori,  vengano coinvolti in un'alleanza educativa che contribuisca ad individuare non solo contenuti e competenze da acquisire ma anche obiettivi e valori da trasmettere per costruire insieme identità, appartenenza, e responsabilità. 

Al raggiungimento di tali finalità concorre l'autonomia scolastica, costituzionalmente riconosciuta che, avendo superato limpostazione esclusivamente centralistica dell'educazione e della formazione del cittadino, consente alla singola istituzione scolastica di concertare, confrontarsi, costruire accordi, creare lo spazio in cui famiglie, studenti, operatori scolastici si ascoltano, assumono impegni e responsabilità, condividono un percorso di crescita umana e civile della persona.

Un'educazione efficace dei giovani è il risultato di un'azione coordinata tra famiglia e scuola, nell'ottica della condivisione di principi ed obiettivi, evitando quei conflitti che hanno sempre gravi conseguenze sullefficacia del processo formativo.

Di conseguenza tutte le componenti scolastiche nelle quali si esprime l'autonomia delle scuole, in particolare il dirigente scolastico, che ne costituisce l'elemento di sintesi, devono aprire una fase di riflessione sulle problematiche oggetto della presente direttiva, fino a promuovere tutte le iniziative  utili, inclusa la revisione del regolamento di disciplina degli alunni, di cui al comma 2, dellarticolo 14 del D.P.R. 275/99.

In tale prospettiva, si intendono fornire, nel rispetto dellautonomia scolastica, della libertà di insegnamento e della garanzia del diritto allo studio, linee di indirizzo e chiarimenti interpretativi, sollecitando opportune iniziative di carattere operativo.
 
Utilizzo di cellulari e altri dispositivi elettronici durante le attività didattiche.

In via preliminare, è del tutto evidente che il divieto di utilizzo del cellulare durante le ore di lezione risponda ad una generale norma di correttezza che, peraltro, trova una sua codificazione formale nei doveri indicati nello Statuto delle studentesse e degli studenti, di cui al D.P.R. 24 giugno 1998, n. 249. 

In tali circostanze, l'uso del cellulare e di altri dispositivi elettronici rappresenta un elemento di distrazione sia per chi lo usa che per i compagni, oltre che una grave mancanza di rispetto per il docente configurando, pertanto, uninfrazione disciplinare sanzionabile attraverso provvedimenti orientati non solo a prevenire e scoraggiare tali comportamenti ma anche, secondo una logica educativa propria dellistituzione scolastica, a stimolare nello studente la consapevolezza del disvalore dei medesimi. 

Dall'elenco dei doveri generali enunciati dallarticolo 3 del D.P.R. n. 249/1998 si evince la sussistenza di un dovere specifico, per ciascuno studente, di non utilizzare il telefono cellulare, o altri dispositivi elettronici, durante lo svolgimento delle attività didattiche, considerato che il discente ha il dovere:

- di assolvere assiduamente agli impegni di studio anche durante gli orari di lezione (comma 1);

- di tenere comportamenti rispettosi degli altri (comma 2), nonchè corretti e coerenti con i principi di cui allart. 1 (comma 3);

- di osservare le disposizioni organizzative dettate dai regolamenti di istituto (comma 4).

La violazione di tale dovere comporta, quindi, lirrogazione delle sanzioni disciplinari appositamente individuate da ciascuna istituzione scolastica, nellambito della sua autonomia, in sede di regolamentazione di istituto.

E' dunque necessario che nei regolamenti di istituto siano previste adeguate sanzioni secondo il criterio di proporzionalità, ivi compresa quella del ritiro temporaneo del telefono cellulare durante le ore di lezione, in caso di uso scorretto dello stesso.

Laddove se ne ravvisi l'opportunità, il regolamento di istituto potrà prevedere le misure organizzative più idonee atte a prevenire, durante le attività didattiche, il verificarsi del fenomeno di un utilizzo scorretto del telefonino.
 
Resta fermo che, anche durante lo svolgimento delle attività didattiche, eventuali esigenze di comunicazione tra gli studenti e le famiglie, dettate da ragioni di particolare urgenza o gravità, potranno sempre essere soddisfatte, previa autorizzazione del docente. La scuola continuerà, in ogni caso, a garantire, come è sempre avvenuto, la possibilità di una comunicazione reciproca tra le famiglie ed i propri figli, per gravi ed urgenti motivi, mediante gli uffici di presidenza e di segreteria amministrativa.

Il divieto di utilizzare telefoni cellulari durante lo svolgimento di attività di insegnamento - apprendimento, del resto, opera anche nei confronti del personale docente (cfr. Circolare n. 362 del 25 agosto 1998), in considerazione dei doveri derivanti dal CCNL vigente e  dalla necessità di assicurare allinterno della comunità scolastica le migliori condizioni per uno svolgimento sereno ed efficace delle attività didattiche, unitamente all'esigenza educativa di offrire ai discenti un modello di riferimento esemplare da parte degli adulti. 

Per le ragioni sopra esposte, si segnala la necessità per ciascuna istituzione scolastica autonoma di dotarsi di un regolamento di istituto che declini e traduca, in maniera adeguata ed efficace, i principi fissati dallo Statuto delle studentesse e degli studenti, in base alle specifiche esigenze della comunità scolastica, prestando particolare attenzione all'individuazione di un repertorio di sanzioni volte a garantire, con il massimo rigore, l'effettivo rispetto delle regole poste a presidio del valore della legalità e di una corretta convivenza civile.

Il Ministero metterà a disposizione delle scuole, mediante pubblicazione sul sito internet www.pubblica.istruzione.it, alcuni esempi di regolamento di istituto che perverranno su iniziativa delle stesse istituzioni scolastiche.
 
Le sanzioni disciplinari verso gli studenti 

Con l'entrata in vigore dello Statuto delle studentesse e degli studenti si è segnato il passaggio da un modello sanzionatorio, incentrato su un'impostazione esclusivamente repressiva, ad un sistema nuovo in base al quale lo studente, in caso di infrazioni disciplinari, deve essere punito ma, contestualmente, deve anche essere obbligato a comportamenti attivi di natura risarcitoria  riparatoria volti al perseguimento di una finalità educativa, in virtù di quanto previsto dalla specifica regolamentazione di istituto e in ossequio al principio dell'autonomia delle istituzioni scolastiche. In particolare la scuola è chiamata a prevedere l'attivazione di percorsi educativi di recupero anche mediante lo svolgimento di attività riparatorie, di rilevanza sociale o, comunque, orientate verso il perseguimento di un interesse generale della comunità scolastica (quali la pulizia delle aule, piccole manutenzioni, svolgimento di attività di assistenza o di volontariato nellambito della comunità scolastica, ...).

La sanzione disciplinare, seppur inserita in una nuova logica, continua a svolgere  anche la sua irrinunciabile funzione di reazione efficace ad un illecito, nonchè di prevenzione verso il compimento di eventuali  infrazioni disciplinari.

Come già chiarito nella direttiva n. 16/2007, il divieto generale di disporre un allontanamento superiore a 15 giorni, posto dallart. 4, comma 7 del  d.p.r. n. 249/1998, può essere derogato quando si sia in presenza di fatti di rilevanza penale, o vi sia pericolo per l'incolumità delle persone (comma 9 dello stesso decreto). 

In queste due situazioni la durata della sanzione è commisurata alla gravità del reato o al permanere della situazione di pericolo.

Si ritiene opportuno che i citati regolamenti di disciplina, nel momento in cui individuano le fattispecie di cui sopra, prevedano sanzioni severe,  commisurate alla particolare gravità dei comportamenti tenuti dagli studenti.

In quest'ottica, il Ministero ha avviato la procedura di revisione degli articoli 4 e 5 dello Statuto delle studentesse e degli studenti allo scopo di consentire da un lato la semplificazione e lo snellimento delle procedure di irrogazione e di impugnazione delle sanzioni disciplinari e, dallaltro, la possibile applicazione di sanzioni particolarmente incisive, secondo un principio di progressività e di proporzionalità, nei casi eccezionali che presentino connotazioni di estrema gravità.

In particolare, la nuova disciplina prevederà che in tali ultimi casi, tassativamente individuati dal regolamento di istituto, la sanzione potrà comportare lesclusione dallo scrutinio finale o la non ammissione allesame di Stato conclusivo del corso di studi.
 
Il dovere di vigilanza e di corresponsabilità dei genitori e dei docenti

Con riferimento alla componente dei genitori, si informa che, nellambito delle modifiche allo Statuto delle studentesse e degli studenti, è prevista la possibilità per ciascuna scuola di chiedere ai genitori, all'atto di iscrizione, o comunque all'inizio di ogni anno scolastico, di sottoscrivere un patto sociale di corresponsabilità al fine di rendere effettiva la piena partecipazione delle famiglie.

Il coinvolgimento attivo di tutte le componenti della comunità scolastica, infatti, è una condizione necessaria per la realizzazione dell'autonomia scolastica e del successo formativo.

Con questo strumento le famiglie, nellambito di una definizione più dettagliata e condivisa dei diritti e doveri dei genitori verso la scuola, si assumono l'impegno di rispondere direttamente dell'operato dei propri figli nel caso in cui, ad esempio, gli stessi arrechino danni ad altre persone o alle strutture scolastiche o, più in generale, violino i doveri sanciti dal regolamento di istituto e subiscano, di conseguenza, l'applicazione di una sanzione anche di carattere pecuniario.
 
Per quanto attiene alla responsabilità deontologica e professionale dei dirigenti, dei docenti e del personale ATA, si ricorda che il dovere di vigilanza  sui comportamenti degli alunni sussiste in tutti gli spazi scolastici ed esige la tempestiva segnalazione alle autorità competenti di eventuali infrazioni, ed in particolare quando trattasi degli episodi di violenza sopra richiamati, dovere la cui inosservanza è materia di valutazione disciplinare.
 
IL MINISTRO     

F.to Giuseppe Fioroni