Una scuola ci chiede se sia legittimo negare la trasmissione telematica di registri e partitari richiesti dai revisori dei conti, in presenza di dati personali di dipendenti. La risposta è sì — ma la motivazione conta.

Quesito pervenuto in redazione

«Il nostro Collegio dei Revisori dei Conti ha richiesto l’invio via email del giornale di cassa, dei registri partitari, del registro minute spese e della Certificazione Unica relativa all’anno 2025. Tali documenti contengono codici fiscali, nominativi e dati finanziari dei dipendenti. Possiamo rifiutarci di inviarli appellandoci al GDPR? E in caso affermativo, come motiviamo formalmente il diniego?»

— D.S. di un istituto comprensivo del Nord Italia

La questione sollevata tocca un nodo operativo sempre più frequente nelle segreterie scolastiche: come conciliare il diritto di accesso degli organi di controllo con il dovere di protezione dei dati personali che grava sul titolare del trattamento, ovvero il dirigente scolastico nella sua qualità di rappresentante dell’istituzione.

La risposta breve è: sì, il diniego è legittimo. Ma attenzione — non per qualsiasi motivo legato alla privacy, bensì per una ragione tecnica molto precisa che occorre saper argomentare correttamente.

Prima di tutto: i revisori hanno diritto di accedere ai dati

È necessario chiarire un equivoco di fondo. Il Collegio dei Revisori dei Conti è un organo istituzionale con poteri di controllo definiti per legge. Il GDPR stesso, all’art. 6 comma 1 lett. c) ed e), prevede esplicitamente che il trattamento di dati personali sia lecito quando è necessario per adempiere un obbligo legale o per l’esercizio di un pubblico potere. Invocare la privacy come ostacolo all’accesso in sé sarebbe quindi giuridicamente infondato e potenzialmente lesivo del funzionamento degli organi di vigilanza.

Il problema non è chi chiede i documenti, ma come viene chiesto che vengano trasmessi.

Il vero problema: i dispositivi dei destinatari sono fuori dal perimetro del titolare

Quando un documento contenente dati personali viene trasmesso esso viene scaricato e conservato su dispositivi che non appartengono all’amministrazione scolastica e sui quali il dirigente scolastico, in qualità di titolare del trattamento, non ha alcuna possibilità di controllo.

In concreto, la scuola non può sapere:

• se il PC del revisore ha il disco rigido cifrato;
• se è protetto da policy di sicurezza adeguate;
• se l’accesso al dispositivo è limitato ai soli soggetti autorizzati;
• con quali modalità e per quanto tempo il documento verrà conservato.

Questo non è un dettaglio tecnico secondario. Il furto o la perdita di un dispositivo sul quale siano stati salvati documenti trasmessi dalla scuola integrerebbe a tutti gli effetti una violazione dei dati personali ai sensi dell’art. 4, n. 12 del GDPR. A quel punto, il titolare del trattamento — cioè la scuola — sarebbe tenuto a notificare l’accaduto al Garante entro 72 ore (art. 33 GDPR), con tutto ciò che ne consegue in termini sanzionatori.

Si tratta di un rischio oggettivamente prevedibile, e proprio per questo il titolare del trattamento non può ignorarlo né scaricarne la responsabilità.

Il fondamento normativo

L’art. 5, comma 1, lett. f) del GDPR sancisce il principio di integrità e riservatezza, imponendo al titolare del trattamento di garantire una protezione adeguata dei dati personali anche contro perdite, distruzioni o accessi non autorizzati accidentali. L’art. 32 del medesimo Regolamento obbliga il titolare ad adottare misure tecniche e organizzative appropriate, tenuto conto della natura dei dati trattati e dei rischi per i diritti e le libertà delle persone fisiche.

Tali obblighi non si esauriscono al momento della trasmissione, ma si estendono alle conseguenze prevedibili della stessa, per le quali il titolare del trattamento mantiene una propria responsabilità.

Norme richiamate:

• Art. 5, c. 1, lett. f) GDPR — principio di integrità e riservatezza nel trattamento
• Art. 6, c. 1, lett. c) ed e) GDPR — liceità del trattamento per obbligo legale e interesse pubblico
• Art. 32 GDPR — misure tecniche e organizzative adeguate a garanzia della sicurezza
• Art. 4, n. 12 GDPR — definizione di violazione dei dati personali (data breach)
• Art. 33 GDPR — obbligo di notifica al Garante entro 72 ore in caso di violazione
• Art. 83 GDPR — sanzioni amministrative pecuniarie
• D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018

Come motivare correttamente il diniego

La nota di risposta al Collegio dovrà essere impostata non come rifiuto all’accesso, ma come impossibilità di utilizzare canali di trasmissione che non garantiscano la sicurezza richiesta dalla normativa. La distinzione è fondamentale:

• si garantisce piena disponibilità alla consultazione in loco;
• si offre eventuale trasmissione tramite canali sicuri e certificati, se disponibili;
• si declina espressamente la trasmissione ordinaria in quanto non adeguata ai requisiti dell’art. 32 GDPR.

In sintesi

Il diniego alla trasmissione telematica ordinaria di documenti contabili contenenti dati personali è legittimo e giuridicamente fondato, a condizione che sia motivato correttamente: non sulla privacy come limite all’accesso dei revisori, ma sull’impossibilità di garantire la sicurezza del trattamento al di fuori del perimetro dell’amministrazione scolastica.

La scuola deve in ogni caso assicurare la piena consultabilità dei documenti in sede, in occasione delle ordinarie attività del Collegio. Negare anche questa possibilità sarebbe invece illegittimo e potrebbe configurare un ostacolo all’esercizio di funzioni pubbliche.