Tra i principi base del GDPR non possiamo dimenticare quelli di “privacy by design” e “privacy by default”, che impongono al titolare del trattamento di mettere in atto, fin dal momento della programmazione, gli strumenti e le corrette impostazioni a tutela dei dati personali degli utenti.

Il concetto di “privacy by design” è disciplinato dal primo paragrafo dell’articolo 25 del GDPR.

In pratica, in base a tale principio, il titolare del trattamento (nel caso della scuola, il dirigente) “tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento”, ha l’obbligo di “mettere in atto misure tecniche e organizzative adeguate per integrare nel trattamento le necessarie garanzie volte a tutelare i diritti degli interessati”.

Il GDPR pone dunque al centro l’interessato, obbligando il titolare a una tutela reale ed effettiva dei dati.

La scuola deve pertanto svolgere a priori una valutazione dei rischi, aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche.

Tale valutazione deve essere fatta sin dalla fase di progettazione del trattamento.

Il dirigente deve poi tenere conto anche del tipo di dati che vengono gestiti dalla scuola.

Per cui, in presenza di un trattamento che coinvolga dati di minori, gli obblighi dovranno essere più stringenti, in considerazione del fatto che il rischio è maggiore.

Il principio di “privacy by design” pone quindi la persona fisica, proprietaria dei dati, al centro del sistema di tutela, ed obbliga il titolare a un impegno effettivo e non solo formale.

È compito della scuola adottare tutte le misure tecniche e organizzative necessarie a garantire una maggior riservatezza dei dati e la loro minimizzazione.

Quest’ultimo principio parte dall’idea che, salvo poche eccezioni, un titolare deve trattare solo i dati di cui ha realmente bisogno per raggiungere le finalità del trattamento.

In questo modo potrà essere garantito anche il principio di “privacy by default”, disciplinato dal secondo comma dell’articolo 25 del GDPR.

Esso infatti prevede che, per impostazione predefinita, le scuole debbano trattare solo i dati personali “nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini”.

In conclusione, possiamo dire che ciascun istituto deve perciò dimostrare di aver predisposto tutte le misure tecniche ed organizzative necessarie per rispettare i principi di “privacy by design” e “privacy by default”, in modo da tutelare pienamente i dati personali degli utenti.