GDPR a scuola: come rispettare gli obblighi privacy

Non solo adeguamenti formali e documentali: l’applicazione delle norme contenute all’interno del General Data Protection Regulation nel mondo della pubblica amministrazione richiedono una vera e propria rivoluzione culturale.

Un tema delicato, che diventa particolarmente sensibile se applicato al mondo scolastico, dove i dati personali su larga scala riguardano soggetti in condizioni di “particolare vulnerabilità” come i minorenni.

Il diritto alla protezione dei dati personali è più recente rispetto al diritto di ricevere un’adeguata istruzione, ma i due diritti sono strettamente correlati tra loro.

Sia le scuole private che quelle pubbliche sono state chiamate ad adeguarsi al regolamento europeo, ma la complessità delle disposizioni e della normativa non ha reso facile il recepimento delle direttive e la conversione dei processi.

Il primo grande ostacolo è il superamento del concetto di “misure minime” a favore del principio di accountability: un’attenta analisi dei processi e dei trattamenti dei dati personali, con una conseguente responsabilizzazione di chi li tratta, individuando dei responsabili per le varie fasi della gestione delle procedure.

Più che un ostacolo burocratico, queste imposizioni potrebbero e dovrebbero rappresentare una spinta verso la maggior efficienza dell’intero processo.

Ruoli, nomine e funzioni: cosa cambia a scuola con il GDPR

Prima di individuare e definire l’organigramma e le varie responsabilità all’interno degli istituti scolastici, occorre distinguere tra i soggetti coinvolti chi tratta i dati personali da chi non è autorizzato.

Gli autorizzati al trattamento sono, ad esempio, insegnanti, impiegati amministrativi e assistenti scolastici che trattano i dati personali di genitori e alunni.

Il regolamento non prevede una nomina formale di queste figure, ma i soggetti, per una corretta compliance, devono seguire delle istruzioni operative sotto forma di misure di sicurezza e formazione, che si traduce molto spesso in un documento di autorizzazione e il titolare del trattamento, o in altri casi il responsabile, deve poter dimostrare che l’autorizzato è stato adeguatamente istruito, nel rispetto del principio di accountability.

Dopo aver individuato i soggetti autorizzati, occorre definire i diversi ruoli previsti dalla normativa.

I ruoli sono:

• Titolare del trattamento
• Responsabile del trattamento
• Responsabile della protezione dei dati (DPO)

Titolare del trattamento

Il titolare del trattamento determina finalità e mezzi del trattamento dei dati personali, funge da garante di sicurezza.

Questa figura è sempre ricoperta dall’istituto scolastico nel suo complesso: il dirigente scolastico dovrà eseguire le determinazioni del titolare.

Le funzioni del titolare:

• coadiuvare la tenuta del registro delle attività di trattamento;
• coordinare l’attività di aggiornamento delle informative da rendere agli interessati;
• valutare i soggetti inquadrati come responsabili del trattamento;
• assicurare immediato riscontro alle richieste del DPO riconducibili al settore di appartenenza;
• coordinare le attività di valutazione dell’impatto privacy sugli interessati fin dal momento della progettazione dei processi di trattamento e degli applicativi informatici di supporto.

Responsabile del trattamento

Il responsabile del trattamento è una persona fisica o giuridica differente dal titolare, che elabora i dati personali del titolare, proprio sotto il suo controllo.

Ogni soggetto esterno alla scuola, se coinvolto in un’attività di trattamento di dati personali, deve essere inquadrato responsabile del trattamento perché capace di mettere in atto misure tecniche a tutela dei rischi per i diritti e le libertà degli interessati.

L’incarico deve essere formalizzato chiarendo obblighi, limiti e istruzioni riguardanti il trattamento, attraverso un contratto che rispetti i requisiti previsti dalla normativa.
Il responsabile del trattamento in alcuni casi potrà essere chiamato a rispondere anche all’autorità di controllo.

Con l’autorizzazione del titolare, il responsabile può anche nominare un sub-responsabile per il compimento di determinate attività che avrà i suoi stessi obblighi.

Il responsabile della protezione dei dati - DPO

Il responsabile della protezione dei dati (RPD, che in Inghilterra equivale al Data Protection Officer, DPO) è una nomina obbligatoria per tutte le autorità e organismi pubblici. Non fa eccezione la scuola, anche privata.

‍Considerando la tipologia, il volume e la qualità dei dati trattati e dei trattamenti realizzati, la figura del DPO all’interno di un istituto scolastico riveste un’importanza strategica.

La figura dell’RPD deve essere completamente autonoma e indipendente, anche dal titolare, che non dovrà fornire istruzioni. Il titolare dovrà fornirgli le risorse necessarie per il corretto svolgimento delle funzioni. In alcuni casi potrebbe essere necessario creare un team, c.d. Privacy Office, guidato dal responsabile della protezione dei dati.

Questa figura può essere sia interna, sia esterna all’istituto.

‍In caso di soggetto esterno, la persona fisica o giuridica incaricata dovrà superare una procedura selettiva in cui saranno indicati i requisiti di partecipazione, la durata e le caratteristiche dell’incarico.

Anche nel caso di nomina interna, è necessario un atto di designazione indicante i compiti, le funzioni e le motivazioni della scelta. Le attività del responsabile della protezione dei dati dovranno essere compatibili con le mansioni ordinariamente svolte per non creare un conflitto di interessi

Aggiornamento delle informative privacy a scuola

La prima operazione per l’adeguamento al GDPR è l’aggiornamento delle informative da comunicare agli interessati: è sufficiente pubblicare l’informativa sul sito web dell’istituto.

La chiarezza è il primo e principale requisito della comunicazione, per facilitare la comprensione di tutti i differenti destinatari è consigliabile optare per una pluralità di informative e distinguere le categorie di interessati, come ad esempio alunni, genitori, fornitori e dipendenti.

Queste informative devono contenere informazioni relative al periodo di conservazione di dati, la base giuridica, i diritti dell’interessato e i contatti del RPD e tutti i requisiti previsti dagli art. 12, 13 e 14 in merito all’obbligo informativo. 

Il consenso avviene tramite il soggetto minorenne o dal genitore?

Fino al compimento del 18° anno di età, i minorenni non possono rilasciare consenso al trattamento dei dati.

‍Al compimento del 18° anno di età solamente il diretto interessato può rilasciare il consenso (né i genitori  né tantomeno chi aveva esercitato la potestà genitoriale).

Il consenso non è obbligatorio per la fruizione di servizi per prevenzione e consulenza fornita direttamente ai minori come lo sportello di ascolto e sostegno all’infanzia.

Per trattamenti speciali dei dati come foto, riprese audio e video e la relativa diffusione occorre l’esplicita autorizzazione di tutti gli interessati.

Le peculiarità del settore scolastico

Se per tutti gli altri ambiti, la regola base che definisce i tempi di conservazione dei dati raccolti è “non superiore a quello necessario agli scopi per i quali sono raccolti”, nella pubblica amministrazione i tempi sono stabiliti dal Ministero dei Beni e delle Attività Culturali.

Il trattamento dei dati in ambito scolastico avviene solo ed esclusivamente in virtù di una norma di legge, di regolamento o per motivi di interesse pubblico rilevante: quindi per ricercare la finalità e le caratteristiche del trattamento, sarà necessario cercare nella fonte legislativa o nel regolamento.

Tra i diritti, in ambito scolastico dovrà essere escluso quello relativo alla portabilità dei dati.

Il registro dei trattamenti a scuola

Tra le varie funzioni del titolare del trattamento, il primo che abbiamo elencato era la tenuta del registro delle attività di trattamento: un documento scritto continuamente aggiornato, che deve essere disponibile in formato elettronico.

Tutte le imprese con almeno 250 dipendenti hanno l’obbligo di tenere il registro delle attività di trattamento.

Le aziende che hanno meno di 250 dipendenti sono escluse da questo obbligo se non rappresentano un rischio per i diritti e le libertà degli interessati, trattano i dati in maniera occasionale e non trattano dati particolari.

‍Le scuole, trattando continuamente dati, soprattutto particolari, hanno l’obbligo di tenere questo registro.

Il registro delle attività di trattamento va fornito durante l’eventuale controllo del Garante, ed è utile anche come riassunto completo o fotografia sullo stato attuale dei trattamenti a chi lo redige, perché contiene:

• Nome e contatti del titolare, contitolare, rappresentante del trattamento e responsabile della protezione dei dati;
• Finalità del trattamento;
• Descrizione della categoria di interessati e di dati trattati;
• Descrizione della categoria di destinatari dei dati, comprese terze parti;
• Eventuali trasferimenti di dati;
• Termini di cancellazione dei dati;
• Misure di sicurezza tecniche e organizzative.

Queste sono le informazioni minime da inserire nel registro delle attività di trattamento, ma è consigliabile inserire tutte le informazioni capaci di migliorare questa analisi statica dei trattamenti e i relativi rischi.

Per ogni attività sarebbe opportuno specificare la base giuridica, le operazioni svolte sui dati, le modalità del trattamento, il tipo di informativa e l’eventuale presenza di responsabili esterni.

Prevenzione, conduzione e gestione della valutazione d'impatto

Come anticipato in precedenza, la ventata di aria fresca proveniente dal GDPR riguarda il principio di accountability che ha aumentato il potere e le responsabilità del titolare, chiamato a strutturare anche misure tecniche e organizzative di sicurezza per la protezione dei dati personali basati sul principio di risk based.

‍Nonostante in ambito scolastico i trattamenti siano guidati dalle disposizioni di legge e di regolamento, le ipotesi che riguardano sistemi di rilevazione biometrica delle presenze e videosorveglianza all’ingresso, non permettono l’esclusione della valutazione di impatto privacy (Data Protection Impact Assessment, DPIA).  

I rischi che portano al Data Breach a scuola

I rischi insiti nel trattamento dei dati riguardano la distruzione, perdita, modifica, divulgazione, accesso non autorizzato che mettono in pericolo la sicurezza sulla protezione dei dati personali, fondata sui criteri di riservatezza, integrità e disponibilità.

Il verificarsi di questi rischi comporta una violazione dei dati personali (Data Breach).

‍Le cause possono essere riassunte in tre categorie:

• Comportamenti errati (disattenzione, inconsapevolezza, condotte fraudolente, furto, smarrimento) del personale amministrativo scolastico, dei docenti, degli alunni o dei genitori.
• Violazione informatica (virus, malware, sabotaggio, intercettazioni, obsolescenza, degrado, malfunzionamento) esterna e/o interna.
• Violazione contestuale (eventi imprevedibili naturali, dolosi, artificiali o accidentali) all’impianto scolastico.

Come reagire al Data Breach a scuola

Il verificarsi del Data Breach fa scattare al titolare tre adempimenti:

1. Notifica di violazione al Garante per la protezione dei dati personali;
2. Eventuale comunicazione della violazione all’interessato;
3. Aggiornamento del registro delle violazioni con circostanze, conseguenze e provvedimenti adottati per porvi rimedio.

Per il rispetto di tutti gli obblighi previsti dalla normativa hai a disposizione il software privacy GDPR per la scuola, scopri di più in questo link.