Slovenia: le scuole devono rispettare il principio di protezione dei dati fin dalla progettazione e per impostazione predefinita

Il 27 febbraio 2025 l’Autorità Garante per la protezione dei dati della Slovenia (SI SA) ha emesso un richiamo ufficiale nei confronti di un liceo per non aver rispettato l’articolo 25 del Regolamento generale sulla protezione dei dati (GDPR), che impone l’adozione del principio di protezione dei dati fin dalla progettazione e per impostazione predefinita. L’intervento dell’autorità è nato da un’ispezione avviata d’ufficio, a seguito della notifica di una violazione di dati personali da parte della scuola. In particolare, era stato segnalato un accesso non autorizzato alle informazioni sugli studenti da parte del fornitore esterno incaricato della mensa scolastica.

L’ispezione ha rivelato che il fornitore, pur avendo necessità unicamente di conoscere i nomi e i cognomi degli studenti per tracciare la fruizione dei pasti, aveva ricevuto accesso all’intero database scolastico. Questo includeva dati sensibili come le informazioni sui sussidi ricevuti e sui saldi dei conti individuali. L’autorità ha rilevato che la scuola non aveva adottato misure adeguate per garantire il rispetto dei principi fondamentali del GDPR, né aveva effettuato una corretta valutazione dei rischi legati alla concessione di accessi così estesi. Sebbene l’istituto abbia tempestivamente notificato la violazione, non ha implementato soluzioni efficaci per prevenire il ripetersi di episodi simili.

La SI SA ha quindi deciso di emettere un richiamo formale nei confronti della scuola e del dirigente scolastico. Il ricorso presentato dall’istituto dinanzi al tribunale locale è stato respinto: il giudice ha confermato la decisione del Garante, sottolineando che l’applicazione corretta dei principi di protezione dei dati fin dalla progettazione avrebbe evitato non solo l’accesso improprio, ma anche successive manipolazioni non autorizzate delle informazioni e possibili frodi. Il caso rappresenta un importante richiamo all’attenzione per tutte le istituzioni educative, che devono trattare i dati degli studenti con la massima attenzione, adottando fin da subito misure tecniche e organizzative adeguate.