Società

Mensa scolastica, dati di famiglie e minori inviati per errore: intervento del Garante per la privacy

4 ore fa
3.756 2 minuti di lettura

Il Garante per la protezione dei dati personali ha dichiarato illecito il trattamento effettuato da una società incaricata della gestione del servizio di ristorazione scolastica in un Comune dell’area bolognese.

Il provvedimento, adottato il 17 aprile 2026, riguarda l’invio errato di un documento contenente dati personali relativi a utenti del servizio mensa, comprese informazioni su minori e situazioni debitorie delle famiglie. Alcune parti dell’atto risultano omesse perché è pendente un giudizio di opposizione.

Il caso è emerso dopo alcune notizie di stampa e ha portato l’Autorità ad avviare un’istruttoria. Secondo quanto ricostruito nel provvedimento, una dipendente della società, utilizzando una piattaforma informatica per la gestione dei servizi scolastici, ha inviato via e-mail a 109 utenti un allegato di 71 pagine. Il file conteneva dati riferiti a 50 intestatari del servizio mensa.

Le informazioni finite nell’allegato

Nel documento trasmesso per errore comparivano nomi, cognomi, codici fiscali, dati sui pagamenti, saldi relativi al servizio mensa, nominativi dei figli a carico e informazioni sui pasti consumati. Si trattava, quindi, di dati personali collegati sia alla posizione economica degli utenti sia alla fruizione del servizio scolastico da parte dei minori.

La società ha ricondotto l’episodio a un errore operativo. Nel corso dell’istruttoria è emerso che il file allegato non era il documento destinato all’invio finale, ma un documento di test scaricato dall’operatrice durante le verifiche sulla piattaforma. Secondo la ricostruzione riportata nell’atto, non sono stati rilevati malfunzionamenti tecnici del sistema informatico.

Il ruolo della formazione e delle procedure interne

Il Garante ha rilevato che l’errore non poteva essere letto solo come una disattenzione individuale. Nel provvedimento viene evidenziata anche la necessità di misure organizzative adeguate, come istruzioni operative, controlli e formazione specifica per chi tratta dati personali in processi delicati.

Dopo l’episodio, la società ha dichiarato di avere bloccato l’utilizzo della funzione di invio dei solleciti, avviato interlocuzioni con il fornitore della piattaforma, organizzato corsi di formazione per il personale e pubblicato una procedura interna dedicata alla gestione delle rette.

Perché il trattamento è stato considerato illecito

L’Autorità ha richiamato i principi di liceità, correttezza, trasparenza e minimizzazione dei dati. La comunicazione a più destinatari di informazioni relative ad altri utenti, comprese posizioni debitorie e dati di minori, è stata ritenuta priva di un idoneo presupposto di liceità.

Il Garante ha inoltre richiamato gli obblighi del responsabile del trattamento. Anche quando opera per conto di un ente pubblico, il soggetto incaricato deve trattare i dati solo secondo istruzioni documentate e adottare misure tecniche e organizzative adeguate al rischio. Nel caso esaminato, secondo l’Autorità, tali misure non erano state predisposte fin dall’inizio in modo sufficiente a prevenire l’episodio.

Nessuna ulteriore misura correttiva

Nel provvedimento si legge che la condotta aveva ormai esaurito i suoi effetti e che non ricorrevano i presupposti per l’adozione di ulteriori misure correttive. Restano ferme la dichiarazione di illiceità del trattamento e le valutazioni dell’Autorità sulle carenze organizzative che hanno contribuito all’errata comunicazione dei dati.


Source link

Tags
4 ore fa
3.756 2 minuti di lettura

articoli Correlati

Ok alle Tea in agricoltura: ecco tutte le regole stabilite dall’Europa

13 minuti fa

Tiramisu allo yogurt estivo e altre 3 varianti golose ma leggere

1 ora fa

Crema al caffè cremosissima, la più golosa dell’estate

2 ore fa

4 primi cremosi e profumati con pomodorini e basilico

3 ore fa
Back to top button
Translate »