scuola e privacy

La compliance al GDPR negli Istituti scolastici

Gli adempimenti specifici

Come per ogni realtà, il primo passo per essere conformi al nuovo Regolamento UE 679/2016 – GDPR è la predisposizione del documento cardine, ossia l’informativa sul trattamento dei dati personali.

Per quanto riguarda gli Istituti scolastici, la forma con cui deve essere resa l’informativa è individuata dal GDPR nella forma scritta o anche con mezzi elettronici.

Senza dubbi, il requisito potrà ritenersi integrato con la pubblicazione dell’informativa sul sito web dell’Istituto.

Sarà bene redigere informative non eccessivamente strutturate che potrebbero veder compromesso il requisito della chiarezza e della semplicità optando, se del caso, per una pluralità di informative ritagliate sulla categoria di interessati cui saranno dirette (alunni/famiglie da un lato, dipendenti dall’altro, fornitori etc.).

Le informative andranno dunque così rese dall’Istituto e non sarà necessario acquisire il consenso degli interessati salvo non siano effettuati trattamenti di dati che necessitino di essere espressamente autorizzati (Es. foto nel corso degli eventi dell’Istituto)

L’interessato dovrà esprimere il proprio consenso non solo a che l’istituto effettui le riprese audio foto e video (raccolta) ma anche a che l’Istituto le comunichi o diffonda (pubblicazione on line sul sito d’istituto)

Non si ravvisa, infatti, una finalità istituzionale generale – non legata ad uno specifico evento o contesto di progetto – che legittimi le riprese audio, foto video nell’ambito scolastico in assenza di consenso degli interessati.

Altro profilo importante cui prestare molta attenzione nel predisporre l’informativa è il periodo di conservazione dei dati: deve essere individuato sulla scorta del principio in base al quale i dati personali possono essere conservati per un periodo di tempo non superiore a quello necessario agli scopi per i quali sono stati raccolti.

Tuttavia, nell’ambito della PA, per l’individuazione dei tempi di conservazione dei dati da indicare nell’informativa questi sono comunque stabiliti per legge e si dovrà tenere in debito conto di quanto disposto in materia di archivi delle istituzioni scolastiche dal Ministero dei Beni e delle Attività culturali.

Quanto invece alla base giuridica per il trattamento dei dati, essa si identifica sia con quanto stabilito dall’art.6 co. 1 lett. c), ossia quando il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento sia con quanto stabilito dall’art.6 co. I lett. e), il quale disciplina il caso in cui il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento

Il trattamento dei dati in ambito scolastico avviene esclusivamente in virtù di una norma di legge o, se ammesso dalla legge, di regolamento (art. 2 ter D.Lgs. 101/2018) e per le categorie particolari di dati indicati dall’art. 9 del GDPR, per motivi di interesse pubblico rilevante (art. 2 sexies D.Lgs. 101/2018).

In merito al trattamento di particolari categorie di dati, indicate all’art. 9 del GDPR, e per i dati relativi a reati o misure di sicurezza di cui all’art. 10 del GDPR, si segnala che il trattamento in ambito scolastico può trovare valido riferimento nel DM 305/2006.

Aspetto ancora di ampio rilievo è l’esatta indicazione dei diritti ex artt. 15-22 del GDPR spettanti agli alunni-studenti, in qualità di interessati al trattamento.

Sotto tale profilo, si ricorda che deve essere escluso il diritto alla portabilità dei dati.

Ed invero, ai sensi dell’art.20 co.3 del GDPR , l diritto “di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento”, non si applica al trattamento necessario per l’esecuzione di un compiti di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.

Sempre rimanendo in tema di adempimenti GDPR specifici per la scuola, non può dimenticarsi la videosorveglianza, trattamento che necessita di un’informativa (breve ed estesa) ad hoc.

Deve innanzitutto premettersi che l’interesse degli individui prevale sull’esigenza di tutela del patrimonio scolastico.

È possibile quindi installare un sistema di videosorveglianza negli istituti scolastici quando risulti indispensabile per tutelare l’edificio e i beni scolastici, circoscrivendo però le riprese alle sole aree interessate, come ad esempio quelle soggette a furti e atti vandalici.

Le telecamere che inquadrano l’interno degli istituti possono essere attivate solo negli orari di chiusura, quindi non in coincidenza con lo svolgimento di attività scolastiche ed extrascolastiche.

Le aree perimetrali esterne, al pari di ogni altro edificio pubblico o privato, possono invece essere oggetto di ripresa, per finalità di sicurezza, anche durante l’orario di apertura dell’istituto scolastico. In questo caso, l’angolo visuale deve essere delimitato in modo da non inquadrare luoghi non strettamente pertinenti l’edificio.

La presenza di telecamere deve sempre essere segnalata da appositi cartelli (vedi i modelli di informativa semplificata predisposti dal Garante e reperibili sul sito www.garanteprivacy.it), visibili anche di notte qualora il sistema di videosorveglianza sia attivo in tale orario.

Ultimo, ma di certo non per importanza, è la tenuta del registro del trattamento ex art 30 GDPR.

Per le istituzioni scolastiche il Miur, con nota n. 877 del 03/08/2018, ha trasmesso alle scuole uno schema di Registro delle attività di trattamento corredato da una guida operativa per la compilazione dei campi individuati. La metodologia utilizzata per la compilazione del Registro delle attività di trattamento ha consentito di individuare i principali flussi di dati presenti nelle istituzioni scolastiche e utile per garantire la sicurezza della gestione dei dati stessi.

A proposito di sicurezza informatica, il MIUR, nel documento pubblicato in materia di GDPR, si sofferma nello specificare che: “La sicurezza informatica, infatti, ha lo scopo di minimizzare i rischi che incombono sulle informazioni digitali (non solo sui dati personali in essi contenuti) andando a perseguire il raggiungimento di tre obiettivi: la confidenzialità (o, come l’abbiamo definita in precedenza, riservatezza), l’integrità e la disponibilità delle informazioni. La triade composta da confidenzialità, integrità e disponibilità delle informazioni (in inglese indicata con l’acronimo CIA, per Confidentiality, Integrity e Availability) rappresenta, quindi, il fulcro della sicurezza. La “confidenzialità” si riferisce a quell’insieme di regole che consentono di mantenere il controllo sull’accesso a determinate informazioni escludendo i soggetti non legittimati. Con il concetto di “integrità”, invece, ci si riferisce alle regole finalizzate a far sì che le informazioni i dati e documenti siano trattati in modo da prevedere, prevenire e ripristinare i sistemi informatici a seguito di eventi accidentali o volontari in grado di compromettere o alterare indebitamente i sistemi o i dati in esso contenuti. La “disponibilità”, infine, si riferisce alle regole e agli accorgimenti attraverso i quali mantenere i sistemi informatici e telematici costantemente operativi, affidabili, funzionali e accessibili.”

Certo è che è bene rispettare quanto indicato dal Ministero dell’istruzione a partire proprio dalla redazione dell’informativa sul trattamento dei dati personali, oltre a tutte le altre informative specifiche in caso si attuino trattamenti con elevato rischio come nell’ipotesi della presenza di un sistema di videosorveglianza, senza dimenticare di riportare tutta la mappatura dei molteplici e delicati dati personali trattati nell’apposito registro del trattamento, anche sulla base del modello fornito dallo stesso Ministero.

 

Condividi
Cart
Your cart is currently empty.