La privacy è un diritto inviolabile.
La scuola, in qualità di luogo dotato di forte valore identitario, dovrebbe rispettare e proteggere i dati personali di tutti gli individui che la compongono e sensibilizzare i giovani al rispetto dell’identità e della dignità del singolo.
Se sei d’accordo con quanto appena affermato significa che sei consapevole dell’importanza della tutela e della protezione della privacy.
Grazie alla tua sensibilità in materia, immagino che il tuo istituto abbia già fatto un ottimo lavoro in tal senso.
Ora, per aiutarti a compiere un ulteriore passo in avanti, vorrei riassumerti in 10 semplici punti le azioni che la tua scuola dovrebbe compiere per potersi definire “a prova di privacy”.
1) Il dirigente scolastico deve decidere come trattare i dati
Il dirigente scolastico, in qualità di titolare del trattamento dei dati, deve essere consapevole del ruolo a lui affidato in relazione agli obblighi previsti dalla normativa in materia di protezione dei dati.
Deve altresì determinare le finalità e i mezzi del trattamento, ovvero decidere “perché” e “come” debbano essere trattati i dati, alla luce del principio di accountability.
2) La scuola deve nominare un responsabile per la protezione dei dati
Ai sensi dell’art. 37 del GDPR, la scuola deve nominare un responsabile per la protezione dei dati, pena sanzioni amministrative pecuniarie fino a 10.000.000 euro.
La nomina del RPD non risulta tuttavia sufficiente, in quanto tale figura non ha né il compito di analizzare lo stato di conformità dell’istituto, né di produrre la documentazione richiesta dalla normativa.
3) La scuola deve nominare i responsabili del trattamento
La scuola deve nominare responsabili del trattamento i fornitori o i soggetti terzi che svolgono attività esternalizzate all’istituto, qualora trattino dati per conto del titolare.
Tale nomina deve essere conforme ai contenuti dell’art 28 del GDPR.
4) La scuola deve nominare le persone autorizzate al trattamento
La scuola deve nominare persone autorizzate al trattamento coloro i quali trattano dati all’interno dell’istituto, fornendo loro al contempo indicazioni su come gestire le informazioni.
5) La scuola deve redigere le informative sul trattamento
La scuola deve presentare all’interessato un’informativa (al più tardi al momento della raccolta dei dati), contenente tutte le informazioni relative a finalità e modalità del trattamento.
Lo scopo è quello di informare l’interessato circa l’esistenza del trattamento stesso, nonché quello di mettere a sua disposizione le informazioni necessarie affinché possa prestare il proprio consenso in maniera consapevole (quando richiesto).
La violazione della disciplina sul consenso e in tema di informativa è punita con l’irrogazione di una sanzione amministrativa pecuniaria fino a 20.000.000 euro.
6) La scuola deve redigere un registro delle attività di trattamento
La scuola deve redigere e tenere aggiornato un registro delle attività di trattamento.
Il registro è un documento compilato dal titolare, nel quale vengono annotate le informazioni su tutti i trattamenti effettuati dall’istituto.
La violazione della disciplina relativa alla tenuta dei registri è soggetta a una sanzione amministrativa pecuniaria fino a 10.000.000 euro.
7) La scuola deve adottare dei disciplinari d’uso
La scuola deve istruire il personale scolastico coinvolto nel trattamento anche in merito all’utilizzo della posta elettronica e di internet.
Il dirigente dovrebbe predisporre dei disciplinari d’uso aventi per oggetto i criteri e le modalità operative di accesso a questi servizi.
Tali disciplinari devono essere adottati sulla base delle indicazioni contenute nella delibera del 1 marzo 2007 (n. 13) del Garante.
8) La scuola deve garantire i diritti degli interessati
La scuola deve proteggere i dati degli interessati con apposite misure di sicurezza nonché garantire loro i diritti riconosciuti dal GDPR.
9) La scuola deve educare gli alunni al rispetto della privacy
La scuola deve educare gli alunni a un uso consapevole del web e delle nuove tecnologie, insegnando loro a difendersi da minacce di vario tipo, quali ad esempio furti di dati, cyberbullismo, virus informatici e truffe.
Ha inoltre il compito di educare i giovani al rispetto del diritto di riservatezza e al valore della sfera personale.
10) La scuola deve mettere in sicurezza i dati
La scuola deve predisporre una serie di misure di sicurezza, nonché adottare specifiche procedure in caso di violazione dei dati.
Nei casi in cui tale violazione comporti un rischio per i diritti e le libertà degli interessati, l’Autorità di Controllo va informata senza indebito ritardo (e comunque entro e non oltre le 72 ore).
Bene, come avrai capito gli aspetti da considerare sono molteplici… tuttavia, come abbiamo detto, la privacy è un diritto fondamentale e la scuola ha il dovere di fare tutto ciò che è nelle proprie possibilità per tutelarlo.