Dati sensibili di bambini disabili inviati via e-mail: maxi multa del Garante della Privacy

Un Comune e una cooperativa sociale sanzionati per 60 mila euro. Violato il GDPR con la diffusione non autorizzata di informazioni personali su minori con disabilità

La tutela dei dati sensibili dei minori è un principio cardine del Regolamento Europeo sulla protezione dei dati personali (GDPR n. 2016/679). Tuttavia, anche un errore apparentemente innocuo, come l’invio di un file Excel non protetto, può trasformarsi in una grave violazione della privacy.

È quanto accaduto a un Comune e a una cooperativa sociale, multati complessivamente per 60 mila euro dal Garante della Privacy per aver trasmesso via e-mail informazioni personali di bambini disabili senza adeguate misure di sicurezza.

Il caso: dati in chiaro di minori diffusi via e-mail

Tutto ha avuto origine quando una cooperativa sociale, incaricata di gestire servizi educativi per l’infanzia, ha inviato al Comune alcuni file Excel contenenti informazioni delicate: nomi, patologie e note relative a bambini con disabilità.

Lo scopo era comunicare l’adesione del personale a uno sciopero imminente e permettere all’ente locale di organizzare eventuali sostituzioni.

Il problema è sorto quando l’ufficio comunale ha inoltrato l’e-mail a tutte le scuole dell’infanzia del territorio, e una di queste ha successivamente esteso l’invio ai genitori di tutti i bambini iscritti, esponendo così i dati sensibili di cinquanta minori.

L’intervento del Garante della Privacy

Il Garante per la protezione dei dati personali è intervenuto sanzionando:

• Il Comune, in qualità di titolare del trattamento, con una multa di 40 mila euro (ingiunzione n. 273/2025);
• La cooperativa, in qualità di responsabile del trattamento, con una multa di 20 mila euro (ingiunzione n. 274/2025).

Secondo il Garante, la trasmissione “a tappeto” di e-mail con dati sensibili in chiaro, anche se finalizzata a gestire un disservizio, rappresenta una violazione grave del GDPR. L’ente locale avrebbe dovuto vigilare sull’operato della cooperativa e impedire l’ulteriore diffusione delle informazioni.

Le responsabilità del Comune

Il Comune è stato ritenuto responsabile per mancata vigilanza e diffusione indebita dei dati.

L’ente non ha verificato il contenuto dei file ricevuti né ha limitato la circolazione dei documenti all’interno del proprio personale. Inoltre, ha consentito che i dati dei bambini fossero condivisi con scuole e genitori non legittimati a trattarli.

Il Garante ha ricordato che ogni istituto scolastico può trattare solo i dati dei propri alunni, non quelli di studenti iscritti in altre sedi, anche se appartenenti allo stesso Comune.

Le mancanze della cooperativa sociale

La cooperativa, dal canto suo, è stata sanzionata per aver omesso misure di sicurezza adeguate nella gestione dei dati.

In particolare:

• non ha applicato tecniche di crittografia o pseudonimizzazione;
• ha inviato file in formato Excel non protetto;
• ha confidato in un semplice disclaimer a piè di pagina, insufficiente a garantire la tutela dei dati sensibili.

Il Garante ha chiarito che le diciture automatiche nelle e-mail (“riservata ai soli destinatari autorizzati”) non costituiscono una reale misura di protezione dei dati.

Lezione per enti e cooperative: la privacy dei minori non si può sottovalutare

Il caso rappresenta un importante monito per tutte le amministrazioni pubbliche, le cooperative sociali e gli enti scolastici.

Il trattamento dei dati relativi alla salute e alla disabilità dei minori richiede il massimo livello di cautela, con l’adozione di sistemi di cifratura, accessi riservati e formazione specifica del personale.

Anche un errore gestionale, se non conforme al principio di minimizzazione e sicurezza dei dati, può comportare pesanti sanzioni economiche e danni reputazionali.