10 pratiche indicazioni per una scuola a prova di privacy

La privacy è un diritto inviolabile.

La scuola, in qualità di luogo dotato di forte valore identitario, dovrebbe rispettare e proteggere i dati personali di tutti gli individui che la compongono e sensibilizzare i giovani al rispetto dell’identità e della dignità del singolo.

Se sei d’accordo con quanto appena affermato significa che sei consapevole dell’importanza della tutela e della protezione della privacy.

Grazie alla tua sensibilità in materia, immagino che il tuo istituto abbia già fatto un ottimo lavoro in tal senso.

Ora, per aiutarti a compiere un ulteriore passo in avanti, vorrei riassumerti in 10 semplici punti le azioni che la tua scuola dovrebbe compiere per potersi definire “a prova di privacy”.

1) Il dirigente scolastico deve decidere come trattare i dati
Il dirigente scolastico, in qualità di titolare del trattamento dei dati, deve essere consapevole del ruolo a lui affidato in relazione agli obblighi previsti dalla normativa in materia di protezione dei dati.
Deve altresì determinare le finalità e i mezzi del trattamento, ovvero decidere “perché” e “come” debbano essere trattati i dati, alla luce del principio di accountability.

2) La scuola deve nominare un responsabile per la protezione dei dati
Ai sensi dell’art. 37 del GDPR, la scuola deve nominare un responsabile per la protezione dei dati, pena sanzioni amministrative pecuniarie fino a 10.000.000 euro.
La nomina del RPD non risulta tuttavia sufficiente, in quanto tale figura non ha né il compito di analizzare lo stato di conformità dell’istituto, né di produrre la documentazione richiesta dalla normativa.

3) La scuola deve nominare i responsabili del trattamento
La scuola deve nominare responsabili del trattamento i fornitori o i soggetti terzi che svolgono attività esternalizzate all’istituto, qualora trattino dati per conto del titolare.
Tale nomina deve essere conforme ai contenuti dell’art 28 del GDPR.

4) La scuola deve nominare le persone autorizzate al trattamento
La scuola deve nominare persone autorizzate al trattamento coloro i quali trattano dati all’interno dell’istituto, fornendo loro al contempo indicazioni su come gestire le informazioni.

5) La scuola deve redigere le informative sul trattamento
La scuola deve presentare all’interessato un’informativa (al più tardi al momento della raccolta dei dati), contenente tutte le informazioni relative a finalità e modalità del trattamento.
Lo scopo è quello di informare l’interessato circa l’esistenza del trattamento stesso, nonché quello di mettere a sua disposizione le informazioni necessarie affinché possa prestare il proprio consenso in maniera consapevole (quando richiesto).
La violazione della disciplina sul consenso e in tema di informativa è punita con l’irrogazione di una sanzione amministrativa pecuniaria fino a 20.000.000 euro.

6) La scuola deve redigere un registro delle attività di trattamento
La scuola deve redigere e tenere aggiornato un registro delle attività di trattamento.
Il registro è un documento compilato dal titolare, nel quale vengono annotate le informazioni su tutti i trattamenti effettuati dall’istituto.
La violazione della disciplina relativa alla tenuta dei registri è soggetta a una sanzione amministrativa pecuniaria fino a 10.000.000 euro.

7) La scuola deve adottare dei disciplinari d’uso
La scuola deve istruire il personale scolastico coinvolto nel trattamento anche in merito all’utilizzo della posta elettronica e di internet.
Il dirigente dovrebbe predisporre dei disciplinari d’uso aventi per oggetto i criteri e le modalità operative di accesso a questi servizi.
Tali disciplinari devono essere adottati sulla base delle indicazioni contenute nella delibera del 1 marzo 2007 (n. 13) del Garante.

8) La scuola deve garantire i diritti degli interessati
La scuola deve proteggere i dati degli interessati con apposite misure di sicurezza nonché garantire loro i diritti riconosciuti dal GDPR.

9) La scuola deve educare gli alunni al rispetto della privacy
La scuola deve educare gli alunni a un uso consapevole del web e delle nuove tecnologie, insegnando loro a difendersi da minacce di vario tipo, quali ad esempio furti di dati, cyberbullismo, virus informatici e truffe.
Ha inoltre il compito di educare i giovani al rispetto del diritto di riservatezza e al valore della sfera personale.

10) La scuola deve mettere in sicurezza i dati
La scuola deve predisporre una serie di misure di sicurezza, nonché adottare specifiche procedure in caso di violazione dei dati.
Nei casi in cui tale violazione comporti un rischio per i diritti e le libertà degli interessati, l’Autorità di Controllo va informata senza indebito ritardo (e comunque entro e non oltre le 72 ore).

Bene, come avrai capito gli aspetti da considerare sono molteplici… tuttavia, come abbiamo detto, la privacy è un diritto fondamentale e la scuola ha il dovere di fare tutto ciò che è nelle proprie possibilità per tutelarlo.



Iscriviti alla community di GDPR Scuola!

Riceverai aggiornamenti costanti sul GDPR
tramite una newsletter settimanale e potrai usufruire di tante
risorse utili per saperne di più sulla normativa!

Letture consigliate dal blog

Nominare il DPO della scuola non basta!

Il DPO non ha né il compito di analizzare lo stato di conformità dell’istituto, né di produrre la documentazione richiesta dal GDPR.LeggiNominare il DPO della scuola non basta!

Instagram dannoso per i ragazzi: i rischi della nota piattaforma di photo sharing

Instagram può essere dannoso per i più giovani? Ecco cosa è emerso da una ricerca interna di Facebook resa nota dal Wall Street Journal.LeggiInstagram dannoso per i ragazzi: i rischi della nota piattaforma di photo sharing

Privacy Officer e DPO: chi sono, differenze e rispettivi ruoli

DPO e Privacy Officer: ecco le differenze tra le due figure che coadiuvano enti pubblici e privati nella protezione dei dati personali.LeggiPrivacy Officer e DPO: chi sono, differenze e rispettivi ruoli

Iscriviti alla community di GDPR Scuola
e scarica subito i bonus a tua disposizione!

Iscriviti

Cliccando sul pulsante dichiaro implicitamente di avere un’età non inferiore ai 16 anni nonché di aver letto l’informativa sul trattamento dei dati personali reperibile alla pagina Privacy e note legali.