L’entrata in vigore del GDPR – il cosiddetto Regolamento Generale sulla Protezione dei Dati – ha suscitato timori e perplessità in ogni ambiente, compreso quello scolastico.
Molte le domande che dirigenti, amministrativi e docenti si sono posti a partire dal maggio 2018.
Le scuole sono tenute ad adeguare i loro sistemi di conservazione dei dati? Quali informazioni sono considerate effettivamente sensibili? È ancora possibile conservare i dati degli studenti sui dispositivi portatili?
In questo articolo faremo chiarezza su alcune definizioni del GDPR e su ciò che gli istituti devono fare per adeguarsi alla normativa.
Differenza fra “dati personali” e “dati sensibili”
Sono “dati personali” tutte le informazioni che in qualche modo possono identificare un soggetto.
Nelle documentazioni scolastiche, tali dati sono rappresentati generalmente da nome, indirizzo, informazioni di contatto, registro scolastico disciplinare, voti e schede di valutazione.
Questa tipologia di dati resta “personale” anche qualora il soggetto scelga volontariamente di renderli pubblici.
Una categoria particolare, quella dei “dati sensibili”, attiene invece a questioni ritenute più delicate.
Nel caso delle scuole, questi comprendono in genere dati biometrici quali impronte digitali, credo religioso, dati sullo stato di salute, ed eventuali prescrizioni alimentari.
I “dati sensibili” possono essere trattati solo a determinate condizioni e con precise modalità: tuttavia le scuole sono autorizzate ad utilizzarli per motivi di interesse pubblico rilevante (cfr. art. 9, par. 2, lett. g) GDPR e artt. 2-ter e 2-sexies del Codice Privacy) e in forza di una legge o regolamento.
Differenza fra “titolare del trattamento” e “responsabile del trattamento”
Il GDPR evidenzia l’importanza del ruolo del “titolare” e del “responsabile” del trattamento dei dati, figure che in entrambi i casi possono essere ricoperte da individui o da enti.
Il “data controller” – o “titolare del trattamento dei dati” – stabilisce mezzi e scopi relativi all’elaborazione dei dati, mentre il “data processor” – o “responsabile del trattamento dei dati” – gestisce gli stessi per conto del “titolare”.
Queste due figure presentano responsabilità legali differenti.
Di norma la scuola riveste il ruolo di “titolare”, e deve pertanto agire in accordo col “responsabile”, il quale può assumere diverse forme, quali ad esempio il fornitore del registro elettronico, una piattaforma per la didattica a distanza, o un software per la gestione amministrativa.
Qualunque operazione condotta da entrambe le figure, relativamente ai dati personali, è ritenuta a tutti gli effetti un trattamento degli stessi, anche se automatizzato, e pertanto ne comprende la raccolta, la conservazione, il recupero e la distruzione.
Il “responsabile della protezione dei dati” o “DPO”
Il GDPR impone la nomina del “Data Protection Officer” o “DPO” a tutti gli organismi pubblici, comprese le scuole.
Prendendo in considerazione la tipologia, il volume e la qualità dei dati personali trattati e dei trattamenti messi in atto, la figura del “DPO” all’interno di un istituto ricopre un ruolo strategico.
Il “Data Protection Officer” deve agire in maniera autonoma e indipendente dal “titolare del trattamento dei dati”, il quale non sarà tenuto a fornire istruzioni, ma solo risorse necessarie per lo svolgimento dei compiti.
La figura del “responsabile della protezione dei dati” può essere sia interna che esterna all’istituto.
In caso di soggetto esterno, la persona fisica o giuridica incaricata dovrà superare un iter selettivo, nel quale saranno indicati tutti i requisiti di partecipazione, la durata, e le caratteristiche della mansione.
Anche nel caso di nomina interna sarà necessario un atto di designazione, che dovrà esplicitare i compiti, le funzioni e le motivazioni che hanno indotto tale scelta.
Al contempo, tutte le attività promosse dal “responsabile della protezione dei dati” dovranno risultare compatibili con le mansioni ordinariamente svolte, per non generare un conflitto di interessi.
Istituti scolastici e aggiornamento delle informative privacy
La prima operazione che la scuola deve compiere per adeguarsi al GDPR è l’aggiornamento delle informative da comunicare ai soggetti interessati.
La chiarezza è il pilastro base della comunicazione: i documenti devono avere forma concisa, ed essere facilmente accessibili e intellegibili da parte di qualsiasi utente.
È pertanto consigliabile optare per una pluralità di informative, facendo un distinguo tra le categorie di interessati, quali ad esempio alunni, genitori, fornitori e dipendenti.
Tutte le informative devono comunque racchiudere le informazioni relative al periodo di conservazione di dati, la base giuridica, i diritti dell’interessato e i contatti del responsabile della protezione dei dati, così come soddisfare tutti i requisiti previsti dagli artt. 12, 13 e 14 presenti nel Regolamento Generale sulla Protezione dei Dati.
Trattamento e conservazione dei dati personali a scuola
Se per tutti gli altri ambiti la regola base che definisce le tempistiche di conservazione dei dati raccolti impone che tale arco temporale sia “non superiore a quello necessario agli scopi per i quali sono raccolti”, secondo quanto affermato dal GDPR nella pubblica amministrazione i tempi sono definiti in base alle indicazioni delle “Regole tecniche in materia di conservazione digitale” degli atti stabilite da AgID, e nei tempi e nei modi indicati dalle “Linee Guida per le Istituzioni scolastiche e dai Piani di conservazione e scarto degli archivi scolastici” definiti dalla “Direzione Generale degli Archivi” presso il Ministero dei Beni Culturali.
Il trattamento dei dati presso gli istituti scolastici avviene solo ed esclusivamente in virtù di una norma di legge, di un regolamento o per motivi di interesse pubblico particolarmente rilevanti.
Viene da sé quindi che, per ricercare le finalità e le caratteristiche del trattamento, diventa necessario prendere in considerazione la fonte legislativa o il regolamento 679/16/UE.
“Registro delle attività di trattamento” a scuola
Tra i vari obblighi del “titolare del trattamento” compare la redazione del “registro delle attività di trattamento”, documento che va aggiornato con regolarità e che deve essere reso disponibile anche in formato elettronico.
Gli istituti scolastici, trattando continuamente dati personali e soprattutto sensibili, hanno l’obbligo di produrre questo materiale.
Il “registro delle attività di trattamento” – che va fornito al Garante della Privacy per eventuali controlli – si rivela particolarmente utile per chi lo redige, in quanto fornisce un quadro completo dello “status” dei trattamenti.
Ecco in sintesi cosa va incluso nel registro:
- Nome e contatti del titolare, co-titolare, rappresentante del trattamento e responsabile della protezione dei dati personali
- Finalità del trattamento
- Descrizione della categoria di soggetti interessati e di dati personali trattati
- Descrizione della categoria di soggetti destinatari dei dati personali, comprese terze parti
- Eventuali migrazioni e trasferimenti di dati personali
- Termini di cancellazione dei dati personali e sensibili
- Misure di sicurezza tecniche e organizzative
Queste sono solo le informazioni base che l’istituto è tenuto ad inserire nel “registro delle attività di trattamento”.
Tuttavia è sempre preferibile includere qualsiasi informazione che possa migliorare l’analisi statica dei trattamenti e i relativi rischi annessi.
Per ogni attività messa in atto da parte della scuola sarebbe inoltre opportuno specificare la base giuridica, le operazioni svolte sui dati, le modalità del trattamento, il tipo di informativa utilizzata e l’eventuale presenza di responsabili esterni.