Classroom non è una piazza! L’insegnante chiede un colloquio con i genitori e scatta il data breach

Fino a che punto per un insegnante è possibile giustificare l’esposizione dei dati degli studenti facendo ricorso alla scusa della “finalità educativa“? Nel provv. n. 583 del 9 ottobre 2025 dell’Autorità Garante per la protezione dei dati personali è affrontato il caso di un reclamo riguardante la pubblicazione all’interno della piattaforma di Google Classroom da parte di un insegnante di alcuni messaggi nei quali erano richiesti colloqui urgenti con i genitori di tre alunni. Rendendo di fatto questi messaggi accessibili non solo agli studenti, ma anche a tutti i genitori.

A fronte delle rimostranze di uno dei genitori, la risposta dell’insegnante è stata “Tutti devono sapere che se si comporteranno come suo figlio, verranno presi provvedimenti seri.”. Vuoi per effetto della terza legge di Newton, ha fatto così seguito un ricorso contro l’Istituto scolastico in cui è stata lamentata una violazione della normativa in materia di protezione dei dati personali.

All’esito della richiesta di informazioni, l’Istituto scolastico ha informato il Garante Privacy di aver provveduto ad annotare l’evento come data breach, alla successiva rimozione del messaggio (entro circa 24 ore) e a dettagliare le circostanze dell’accaduto da cui emerge un errore di valutazione da parte dell’insegnante per non aver valutato il fatto che la comunicazione era stata resa accessibile non solo agli alunni della classe, presenti e verso cui si volevano perseguire finalità educative, ma anche ai genitori degli stessi. I quali, ovviamente, non dovevano venire a conoscenza dei nominativi degli alunni coinvolti.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Inevitabile l’avvio di un procedimento per la contestazione della violazione della liceità del trattamento,

in quanto la pubblicazione, sulla piattaforma Classroom, dei messaggi contenenti informazioni personali relativi al figlio della reclamante e altri due alunni, seppure avvenuta in un’area accessibile solo a genitori degli alunni della classe e non, quindi accessibile a chiunque, ha dato luogo, nel caso di specie, a una comunicazione illecita di dati personali a terzi.

La decisione del Garante Privacy.

Nelle difese, il titolare ha ribadito l’errore da parte dell’insegnante nell’aver inviato, successivamente alla convocazione riservata e individuale, anche il messaggio per mettere a conoscenza tutti gli alunni dei provvedimenti adottati senza avere coscienza del fatto che sarebbe stato accessibile anche a tutti i genitori.

Nel ribadire le regole applicabili al trattamento in ambito pubblico, il Garante Privacy fa prima una ricognizione generale,

Il quadro normativo in materia di protezione dei dati previsto dal Regolamento dispone che il trattamento di dati personali da parte di soggetti pubblici è lecito se necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri” (art. 6, paragrafo 1, lett. c) ed e), paragrafi 2 e 3 del Regolamento; art 2-ter del Codice.

dopodiché, esclude che l’aver reso disponibile sulla piattaforma in modo accessibile anche a tutti i genitori i messaggi con i quali venivano richiesti colloqui urgenti ai genitori di tre alunni indicandoli nominalmente possa rientrare entro il perimetro di liceità del trattamento.

Motivo per cui si conferma l’ipotesi di violazione,

Per tali ragioni l’Istituto ha dato luogo, in assenza di idoneo presupposto di liceità, a una comunicazione illecita di dati personali a terzi in violazione degli artt. 5, par. 1, lett. a) e 6, parr. 1, lett. c) ed e), 2 e 3 del Regolamento e 2-ter, commi 1 e 3, del Codice.

e provvede con un ammonimento, tenendo conto delle circostanze del caso.

L’errore che non scusa.

Circa la scusabilità dell’errore da parte dell’insegnante, però, è opportuno svolgere una riflessione più approfondita. Dal momento che quella stabilita dal GDPR è una responsabilità d’organizzazione, il titolare non può sottrarsi dalla stessa indicando una negligenza o un inadempimento da parte di chi agisce sotto la sua autorità. Quel che viene richiesto è infatti la predisposizione di misure (tecniche e organizzative) adeguate (quindi: preventive ed efficaci) rispetto ai rischi del trattamento.

Inoltre, il tema delle comunicazioni scolastiche è già stato affrontato in più occasioni da parte del Garante,

Il diritto–dovere di informare le famiglie sull’attività e sugli avvenimenti della vita scolastica deve essere sempre bilanciato con l’esigenza di tutelare la personalità dei minori. È quindi necessario evitare di inserire, nelle circolari e nelle comunicazioni scolastiche non rivolte a specifici destinatari, dati personali che rendano identificabili, ad es., gli alunni coinvolti in casi di bullismo o destinatari di provvedimenti disciplinari o interessati in altre vicende particolarmente delicate.

tenendo conto della particolare vulnerabilità degli interessati coinvolti.

Misure utili in tal senso sono anche e soprattutto interventi di sensibilizzazione e formazione, così da rendere nn solo edotto il personale che opera di quell’esigenza ineliminabile di tutelare i diritti degli interessati cui provvede il GDPR ma anche del funzionamento della strumentazione in uso (nel caso: Google Classroom). Motivo per cui occorrono interventi concreti e riferiti al contesto.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Stefano Gazzella

Privacy Officer e Data Protection Officer, è Of Counsel per Area Legale. Si occupa di protezione dei dati personali e, per la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Responsabile del comitato scientifico di Assoinfluencer, coordina le attività di ricerca, pubblicazione e divulgazione. Giornalista pubblicista, scrive su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Aree di competenza: Privacy, GDPR, Data Protection Officer, Legal tech, Diritti, Meme

Visita il sito web dell'autore