Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

REGOLAMENTO UE

La privacy nelle scuole, dopo il GDPR: i consigli per un corretto adeguamento

Gli istituti scolastici trattano dati personali su larga scala riferiti a soggetti in condizioni di particolare vulnerabilità e devono quindi assicurare un elevato livello di protezione dei dati personali. Ecco una breve guida pratica per introdurre al meglio il concetto di privacy nelle scuole

17 Mag 2019
C
Giacomo Conti

Avvocato del foro di Milano, Presidente del Collegio dei Probiviri dell’Associazione Nazionale, Presidente del Collegio dei Probiviri dell’Associazione Nazionale per la Protezione dei Dati

T
Andrea Taravella

Consulente privacy

Z

La privacy nelle scuole è un argomento molto delicato in quanto gli istituti scolastici trattano dati personali su larga scala riferiti a soggetti in condizioni di particolare vulnerabilità e, in primis, i minorenni. Le esigenze di protezione dei dati personali per questa particolare categoria di titolari sono dunque particolarmente elevate, con la conseguenza che sono tenuti ad assicurare un elevato livello di protezione dei dati personali.

È dunque necessario chiedersi quali siano gli obblighi a cui questi soggetti devono adempiere per rispettare il GDPR (General Data Protection Regulation). Questa breve guida si propone l’obiettivo di dare qualche consiglio pratico ai dirigenti scolastici tenuto conto che i loro istituti perseguono finalità di rilevanza pubblica contemplate nella Carta Costituzionale.

Privacy nelle scuole: le novità post GDPR

Le scuole, pubbliche o private che siano, svolgono una funzione essenziale per la crescita ed il progresso del nostro Paese in quanto realizzano direttamente la libertà di arte e di scienza, uno dei diritti fondamentali previsti dalla nostra Costituzione (art. 33 Cost e 34 Cost.). Senza un sistema scolastico efficiente, infatti, sarebbe impossibile realizzare il progresso tecnologico, sociale e morale di una società.

Il diritto alla protezione dei dati personali è di più recente elaborazione rispetto al diritto a ricevere un’adeguata istruzione, ma è evidente come i due diritti debbano essere coordinati e integrati.

Ne consegue che le istituzioni scolastiche si sono dovute confrontare con l’entrata in vigore del Regolamento UE 679/2016 (cosiddetto GDPR) e del successivo D.lgs. 10 agosto 2018, n. 101 che ha modificato il D.lgs. 196/2003 (cosiddetto Codice Privacy).

Gli istituiti scolastici pubblici, potendo contare su una imponente struttura burocratica già piuttosto incline a recepire i formalismi (ma anche la sostanza) della normativa, sono stati avvantaggiati dalla nomina del DPO (Responsabile della protezione dei dati, Art. 37 GDPR).

La nomina del DPO per questi enti è, infatti, obbligatoria per legge, ma il rispetto dell’obbligo normativo ha portato in molte realtà significativi benefici pratici in termini di efficientamento e miglioramento delle prassi: obiettivo che può essere realizzato individuando un DPO esperto e competente.

Il GDPR ha impattato anche gli istituti scolastici privati i quali, al pari degli istituti pubblici, garantiscono la libertà di arte e di scienza e svolgono, conseguentemente, una funzione di pubblica rilevanza.

L’approccio al GDPR per le scuole paritarie è stato tuttavia diverso rispetto a quello “imposto” agli istituti pubblici. Questi enti hanno dovuto ripensare gli approcci metodologici ai trattamenti realizzati, adeguando alla legge i molteplici e diversi trattamenti realizzati dai propri uffici, sensibilizzare e formare il corpo docente e amministrativo.

L’adeguamento meramente formale e documentale alla nuova normativa non è stato (o almeno non avrebbe dovuto essere) la priorità per queste categorie di titolari.

In ogni caso, tutti gli enti scolastici (pubblici o privati) sono stati chiamati a confrontarsi con il Regolamento Europeo.

Tuttavia, il recepimento dei precetti normativi e la conversione di quanto imposto in prassi e procedure concrete sono risultati spesso difficili per la complessità delle disposizioni, per la complessità della normativa e per il ruolo, certamente non facile, svolto in ambito formativo dai vari istituti.

Il primo terreno di confronto è stato il superamento del concetto di “misure minime” a favore dell’approccio di accountability dell’istituto scolastico che presuppone un nuovo approccio consapevole e responsabile alla protezione dei dati personali che non si realizza attraverso un mero adempimento cartolare.

Per l’effetto, ogni complesso scolastico dovrà, in primo luogo e necessariamente, svolgere un’attenta riflessione sulle attività concretamente svolte e ripensare all’approccio sinora utilizzato in tema di protezione dei dati.

Diventa, quindi, imprescindibile ripensare alle modalità attraverso le quali il dato personale (dalla raccolta fino alla cancellazione attraverso tutte le fasi del trattamento realizzato) viene trattato.

Questa attività non può, dunque, prescindere da un’accurata analisi dei metodi di trattamento di dati operati (avuto riguardo alle diverse categorie di interessati) e dei processi oltre che dei sistemi informatici adottati.

Il GDPR chiede, infatti, di responsabilizzare chi tratta i dati personali (anche con semplici circolari e attività formative mirate) e individuare i referenti interni per la gestione delle procedure oltre che, ça va sans dire, aver riguardo dei flussi di dati personali.

La gestione di suddette attività, lungi dal rappresentare un appesantimento burocratico inutile, può rappresentare una vera svolta nel senso dell’efficientamento dei processi idonei a garantire, al tempo stesso, un’auspicata semplificazione e tutela dei diritti che passa, anche, attraverso un’opera di documentazione degli adempimenti e delle misure di sicurezza e organizzative realizzate.

L’organigramma privacy degli istituti scolastici

Il primo step che ogni istituto scolastico deve realizzare riguarda l’individuazione delle responsabilità e, in questo senso, assume imprescindibile rilevanza l’organigramma che, nel caso degli istituti scolastici, sarà sicuramente più complesso che per altre categorie di titolari.

In primo luogo, si tratterà di distinguere i soggetti che trattano dati personali da coloro i quali non sono autorizzati ad accedere ai dati e, nell’ambito dei soggetti autorizzati a trattare i dati, individuare i referenti preposti alla gestione delle diverse procedure. In quest’ottica, sembra consigliabile operare piani di formazione differenziati a seconda della responsabilità aziendale che riveste il soggetto autorizzato e dei trattamenti che questi effettua sotto l’autorità del titolare[1].

In secondo luogo, è consigliabile che i soggetti scolastici integrino procedure per la gestione efficiente dei registri e, in questo senso, è opportuno che si dotino di quattro modelli di registri, fra cui il registro delle attività di trattamento, il registro per la gestione delle violazioni, il registro della formazione e, da ultimo, il registro della strumentazione[2].

Da ultimo, l’organigramma scolastico dovrà indicare un soggetto che gli istituti scolastici avranno l’obbligo di nominare, ossia il Data Protection Officer.

Privacy nelle scuole: il ruolo del DPO

In questo senso, è bene evidenziare sin da subito come questo particolare soggetto, dotato di particolari responsabilità e compiti in materia di protezione dati, non debba mai essere confuso con il DPO la cui nomina risponde a logiche diverse non di organizzazione, ma di protezione degli interessati[3].

Una delle novità del Regolamento Ue 679/2016 è, infatti, l’introduzione di una nuova figura detta DPO (Data Protection Officer), se si vuole mantenere la traduzione inglese oppure RPD (Responsabile della Protezione dei Dati) se si preferisce la traduzione italiana, purtuttavia da molti ritenuta di infelice formulazione posto che il DPO non è responsabile direttamente delle violazioni del GDPR ma è legato al titolare che lo ha nominato da una responsabilità di tipo contrattuale.

In particolare, l’art. 37 (par. 1, lett. a) del Regolamento Europeo prevede che: “il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali”.

Se, da un lato, tutte le scuole pubbliche hanno l’obbligo di provvedere alla nomina del DPO, è erroneo ritenere che una scuola privata, solo perché un soggetto non formalmente pubblico, sia sottratta a questo obbligo normativo. Le scuole, infatti, quand’anche private sono ricomprese all’interno della categoria degli organismi di diritto pubblico[4].

Al riguardo, giova in ogni caso ricordare come il WP29 in una delle Opinion ha ritenuto che sia preferibile che anche i soggetti privati nomino un DPO alla luce delle specificità dei dati trattati, dei soggetti interessati (per lo più minori) e dei rischi connessi con le attività di trattamento.

In ogni caso, pertanto, la nomina del DPO da parte di un istituto scolastico riveste una notevole e imprescindibile rilevanza strategica considerando la tipologia, il volume, la qualità dei dati trattati e la tipologia dei trattamenti realizzati che, il più delle volte, incidono su soggetti particolarmente vulnerabili come i soggetti minorenni.

Da ultimo, l’istituto potrà discrezionalmente valutare se nominare un DPO interno ai propri uffici oppure se individuare un soggetto esterno sulla base di un contratto di servizi sulla base delle indicazioni dell’ex WP29; ma in ogni caso, è imprescindibile che il DPO sia dotato di competenze adeguate, non sia in conflitto di interessi con il titolare e sia dotato dei mezzi per adempiere adeguatamente ai propri compiti.

I responsabili di trattamento: quali nomine e perché

IL GDPR ha, inoltre, riformulato la nozione di responsabile di trattamento, posto che gli stessi secondo quanto previsto dall’art. 28 del GDPR, sono figure esterne all’organizzazione del titolare e per conto del quale trattano i dati e perseguono le finalità definite dallo stesso.

Occorrerà, dunque, valutare caso per caso se ed in che modo ai soggetti che trattano dati per conto del titolare siano o meno responsabili previo un processo di mappatura dei flussi di dati personali. A titolo meramente esemplificativo tra i responsabili esterni potrebbero essere inseriti, fatte le opportune valutazioni, le software house dei gestionali in uso (ad esempio, il registro elettronico), gli amministratori di sistema, i tecnici informatici, le società che forniscono i servizi di ristorazione all’interno dell’istituto.

Appurato che il principio di substance over form richiesto dal GDPR rende inefficaci le mere lettere di incarico, sarà necessario integrare gli accordi con i fornitori con clausole contrattuali che assicurino adeguate livelli di tutela degli interessati le quali possono anche trovare disciplina in un allegato (il data protection agreement) al contratto stipulato con il fornitore.

Soggetti autorizzati: insegnanti, assistenti scolastici, amministrazione

Gli incaricati o autorizzati sono i soggetti, sottoposti all’autorità del titolare o del responsabile, che materialmente svolgono le attività di trattamento e che possono essere, a titolo meramente esemplificativo: gli insegnanti, gli impiegati amministrativi e gli assistenti scolastici.

L’art. 29 del Regolamento UE 679/2016 non prevede espressamente una nomina di queste figure; tuttavia, viene espressamente richiesto che vengano fornite delle istruzioni operative che, secondo il novellato codice privacy, possono anche essere operate in totale libertà di forme. In questo senso, la politica delle misure di sicurezza potrebbe essere implementata anche con circolari aziendali, diffusione della security policy all’interno dell’intranet o in luoghi pubblici come le bacheche scolastiche.

Risulta, infatti, necessaria l’indicazione sia delle misure di sicurezza sia che venga fornita la necessaria formazione: le sole designazioni (formali) non sono sufficienti perchè un soggetto autorizzato possa operare correttamente. Tali nomine, inoltre, dovranno essere declinate secondo le effettive attività svolte da ciascun autorizzato e non per “categorie di personale”. L’analisi delle attività unitamente ad un’adeguata formazione risulta, ancora una volta, l’unico strumento per raggiungere la piena compliance.

Se, da un lato, si è beneficiato fino a ora del cosiddetto periodo di tolleranza (previsto dall’art. 22 comma 13 del dlgs 101 del 2018), questo termine di grazia spirerà il 20 maggio.

Già ora l’Autorità Garante sta iniziando ad applicare le sanzioni senza più tener conto della “fase di prima applicazione”.

Lo spirare del termine di grazia dovrebbe essere preso seriamente dagli istituti scolastici che, per le ragioni sopra esposte, sono tenuti a realizzare buona parte degli adempimenti previsti dal GDPR e a impostare robuste prassi di rispetto della norma per assicurare adeguati livelli di tutela.

È facile immaginare come la mancata realizzazione di quanto richiesto dalla norma, oltre che rappresentare una perdita di un’opportunità, esponga l’ente al rischio di significative sanzioni amministrative, il cui rischio è ancora maggiore se vi è un rischio per i diritti e le libertà delle persone interessate al trattamento che, nel caso specifico, sono spesso soggetti vulnerabili.

———-

  1. Per maggiori approfondimenti sul tema v. La protezione dei dati personali per titolari e responsabili del trattamento di Giacomo Conti, Maggioli Editore, 2019, pagg 142 e ss.

  2. Per maggiori approfondimenti in tema di registri si rinvia al seguente contributo: “la tenuta dei registri: consapevolezza, accountability, substance over form e documentazione delle scelte. sintesi della relazione dell’avv. Giacomo Conti all’evento summer meeting gdpr italia – operatori e consulenti. Milano in data 29 giugno 2018 – aggiornata in data 9 ottobre 2018 all’esito dei chiarimenti forniti dall’autorita’ garante per la protezione dei dati personali)” di Giacomo Conti edito: Il Foro Padano – Rivista di giurisprudenza e di dottrina – Fabrizio Serra Editore, Pisa – Roma – N. Rivista 1/2019 e reperibile al seguente link.

  3. V. sopra cit. Conti pagg. 147.

  4. La definizione dell’istituto è contenuta nell’art. 3, n. 26 del d.lgs. 12.4.2006, n. 163 e nell’allegato III, dove sono elencati nominativamente, a titolo esemplificativo, molteplici enti rientranti nella categoria. Ai sensi dell’art. 3 l’organismo di diritto pubblico è qualsiasi organismo, anche in forma societaria, istituito per soddisfare specificatamente esigenze di interesse generale, aventi carattere non industriale o commerciale, che sia dotato di personalità giuridica e la cui attività sia finanziata in modo maggioritario dallo Stato, dagli enti pubblici territoriali o da altri organismi di diritto pubblico; oppure la cui gestione sia soggetta al controllo di questi ultimi, oppure, da ultimo, il cui organo d’amministrazione, di direzione o di vigilanza sia costituito da membri dei quali più della metà sia designata dallo Stato, dagli enti pubblici territoriali o da altri organismi di diritto pubblico. Per la qualificazione di organismo di diritto pubblico è necessario che i tre requisiti sopra enucleati sussistano in maniera cumulativa, come ribadito sia dalla giurisprudenza europea, sia da quella nazionale. La nozione è comparsa la prima volta nella direttiva comunitaria n. 89/440/CEE del 21.7.1989, con lo specifico intento di ricondurre nel raggio di applicazione della disciplina europea in tema di appalti quei soggetti operanti negli Stati membri i quali, se pure connotati da profili pubblicistici, perché controllati o sovvenzionati dallo Stato o da altri enti pubblici o in ragione dell’attività di natura pubblica esercitata, tuttavia non erano formalmente qualificabili come pubbliche amministrazioni, non essendo riconducibili nel novero delle persone giuridiche di diritto pubblico tassativamente elencate dal Legislatore europeo.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4