Un colegio italiano tendrá que pagar una multa de 2.000 euros por divulgación indebida de datos personales de un alumno entre sus compañeros durante la celebración de una actividad escolar. La notificación que llegó a este centro educativo procedía de la Autoridad Italiana de Protección de Datos y, en un documento fechado en el mes de marzo de 2026, se indicaba que se había vulnerado el Reglamento General de Protección de Datos (RGPD) al permitir que se pusieran en circulación documentos en los que aparecía información médica fácilmente identificable, según publica el medio especializado Orizzontescuola.
Los hechos se produjeron durante una asamblea escolar en la que, según denunció la familia, los estudiantes recibieron folios que contenían datos personales. Se trataba de papel ya usado que se pretendía aprovechar. Pero en algunos de estos, aparecía el nombre y apellidos del alumno junto a la frase ‘Trastornos Específicos de Aprendizaje’. Esta información está estrechamente relacionada con la salud del niño, por lo que está protegida por una normativa europea.
El papel empleado era “reutilizado” y no se pudo justificar su procedencia
El centro educativo alegó durante la investigación que el material que se había repartido era papel ya usado y que “no se puede determinar su procedencia”. Uno de los trabajadores aseguró más tarde que a los alumnos se les repartió ese papel pero las comprobaciones internas realizadas por el equipo directivo no consiguieron aclarar quién había sido el responsable.
La Autoridad de Protección de Datos consideró acreditada una vulneración de la ley “incluso con una divulgación limitada”, como se explica en la resolución ya que “se produjo una divulgación ilícita de datos personales” ya que fueron accesibles a terceros. Y esto además se agrava más ya que se trata de información de “categoría especial”, lo que debería haber exigido más garantías en su tratamiento y custodia.
Los colegios deben garantizar las medidas “organizativas y técnicas” para proteger a los menores
Los centros educativos deben garantizar las medidas “técnicas y organizativas adecuadas” para evitar accesos no autorizados a la información personal, más aún si es sanitaria, de los menores. Aquí se incluye el cuidado del material interno. En este caso, se rompieron los protocolos de seguridad.
Aunque se tuvieron en cuenta atenuantes como que en el colegio esto no había pasado antes, el organismo resaltó que se habían vulnerado los principios de legalidad, equidad, integridad y confidencialidad que aparecen en el RGPD.