Informative: la tua scuola è conforme al GDPR?

In questo articolo voglio spiegarti come revisionare le informative della tua scuola, in modo da renderle conformi al GDPR.

Con l’entrata in vigore del nuovo regolamento, il legislatore europeo ha attribuito all’informativa un ruolo di primaria importanza.

Essa non rappresenta più soltanto un diritto per l’interessato (ossia per la persona cui i dati si riferiscono), ma assume il carattere di vero e proprio dovere giuridico per il titolare del trattamento dei dati (nel caso della scuola, il dirigente scolastico).

Spetta perciò ora alla figura del dirigente revisionare i modelli per le informative utilizzati fino allo scorso anno.

Egli deve necessariamente fornire agli utenti della scuola una comunicazione indicante il modo in cui vengono gestiti, conservati e protetti i dati.

Deve farlo a partire dal momento della raccolta delle informazioni (o, se i dati non sono stati ottenuti direttamente dall’interessato, entro un termine ragionevole che non può superare comunque il mese).

L’obbligo di una rapida comunicazione ha lo scopo di notificare la presenza del trattamento e di mettere a disposizione dell’utente le informazioni necessarie affinché possa prestare il proprio consenso in maniera consapevole.

A tal proposito, il considerando n. 60 del GDPR afferma che un trattamento può definirsi corretto e trasparente solo nel caso l’interessato venga informato sull’esistenza dello stesso e sulle relative finalità.

In assenza della precisazione delle finalità, il trattamento è ritenuto illegittimo.

Il regolamento indica inoltre, in maniera più dettagliata rispetto al Codice della Privacy, come redigere un’informativa: essa dev’essere scritta in modo conciso, trasparente, intelligibile, con linguaggio chiaro e semplice.

Occorre inoltre precisare come, ogni qual volta cambino le finalità, il titolare sia tenuto a fornire all’interessato una nuova e diversa informativa prima di procedere a un ulteriore trattamento dei dati (anche nel caso i soggetti siano i medesimi).

E’ infatti vietato trattare informazioni per finalità diverse rispetto a quelle per cui sono state inizialmente raccolte.

Le informazioni relative alla gestione dei dati devono essere fornite “per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici” (ad esempio, se destinate al pubblico, attraverso il sito web), salvo diversa richiesta di riceverle “oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato” (art. 12 Reg. Ue 2016/679).

Ai sensi dell’art. 15 del GDPR, ogni utente ha il diritto di ricevere conferma che sia o meno in corso un trattamento di dati personali che lo riguardano, ed in tal caso avere il diritto ad accedere a tali dati.

Il legislatore europeo, nell’art. 13 del GDPR, elenca in modo tassativo (aggiungendo nuovi obblighi rispetto al Codice della Privacy), quali debbano essere i contenuti dell’informativa, qualora i dati personali siano raccolti presso l’interessato.

Quali sono le informazioni da raccogliere e inserire nelle informative?

“…..a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;

b) i dati di contatto del responsabile della protezione dei dati, ove applicabile; (ogni scuola ha l’obbligo di designare un responsabile della protezione dati);

c) le finalità del trattamento cui sono destinati i dati, nonché la base giuridica del trattamento;

d) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;

e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;

f) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale, e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.”

Il comma secondo poi aggiunge:

“…. a) Ii periodo di conservazione dei dati personali oppure, in caso non fosse precisamente definibile, i criteri utilizzati per determinare tale periodo;

b) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;

c) qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;

d) il diritto di proporre reclamo a un’autorità di controllo;

e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali, nonché le possibili conseguenze della mancata comunicazione di tali dati;

f) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

I contenuti sopra elencati rappresentano solo un nucleo minimo essenziale.

Il considerando 60, prevede infatti che il titolare del trattamento debba “fornire all’interessato eventuali ulteriori informazioni necessarie ad assicurare un trattamento corretto e trasparente, tenendo in considerazione le circostanze e il contesto specifico in cui i dati personali sono trattati”.

Quali sono le sanzioni previste in caso di violazioni della disciplina sul consenso?

Il legislatore europeo ha stabilito che “la violazione della disciplina sul consenso e in tema di informativa è punita con l’irrogazione di una sanzione amministrativa pecuniaria fino a euro 20.000.000”.

Anche le scuole, essendo obbligate a rispettare i principi fissati dal regolamento e a garantire ai propri utenti tutti i diritti previsti, sono soggette a queste sanzioni.

L’eventuale condanna dell’istituto costituirebbe un gravissimo danno per le casse erariali, e di conseguenza per tutti i cittadini.

La violazione del diritto alla riservatezza potrebbe altresì avere risvolti in ambito civile e penale.

La protezione dei dati è un diritto individuale della persona che viene tutelato a livello comunitario.

Nella Carta dei diritti fondamentali dell’UE (art. 8) viene affermato che “Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano”.

A livello nazionale, nella nostra carta costituzionale non vi sono norme che tutelino la privacy e la riservatezza degli individui, ma giurisprudenza e dottrina, nel tempo, hanno trovato numerosi riferimenti in disposizioni riguardanti domicilio, libertà e segretezza della corrispondenza, libertà di manifestazione del pensiero.

Nel fondamentale articolo 2 della Costituzione, inoltre, la privacy viene fatta rientrare tra i “diritti inviolabili dell’uomo”.

La scuola, in qualità di luogo dal forte valore identitario, è tenuta a rispettare e proteggere la privacy dei propri utenti: dagli alunni, ai docenti, al personale amministrativo.

E’ infine fondamentale che vengano quotidianamente riaffermati (come riportato anche dal Garante della Privacy nell’opuscolo del 2016, “Scuola a prova di privacy”) “quei principi di civiltà, come la riservatezza e la dignità della persona”, attraverso attività di formazione del proprio personale (sull’importanza del dato e del suo trattamento), e degli alunni (per far comprendere ai cittadini di domani l’importanza del diritto alla riservatezza della propria sfera personale).

Ogni dirigente dovrà perciò provvedere a revisionare le informative attualmente utilizzate, verificando la conformità o meno delle stesse ai criteri sopra elencati, con particolare riguardo ai contenuti obbligatori e alle modalità di redazione, nonché a tutte alle prescrizioni del regolamento europeo.



Iscriviti alla community di GDPR Scuola!

Riceverai aggiornamenti costanti sul GDPR
tramite una newsletter settimanale e potrai usufruire di tante
risorse utili per saperne di più sulla normativa!

Letture consigliate dal blog

Prove INVALSI e normativa sulla privacy

Le prove INVALSI prevedono la raccolta e il trattamento di dati personali: ecco cosa impone la normativa vigente a riguardo. LeggiProve INVALSI e normativa sulla privacy

La diffusione di un indirizzo email senza consenso viola la privacy

L’indirizzo di posta elettronica è un dato personale: la sua divulgazione senza consenso costituisce una violazione della privacy.LeggiLa diffusione di un indirizzo email senza consenso viola la privacy

I principi di privacy by design e privacy by default

I principi che impongono al dirigente di mettere in atto, fin dalla programmazione, gli strumenti per la tutela dei dati personali.LeggiI principi di privacy by design e privacy by default

Iscriviti alla community di GDPR Scuola
e scarica subito i bonus a tua disposizione!

Iscriviti

Cliccando sul pulsante dichiaro implicitamente di avere un’età non inferiore ai 16 anni nonché di aver letto l’informativa sul trattamento dei dati personali reperibile alla pagina Privacy e note legali.