Questo articolo è stato pubblicato anche sulla testata specializzata “Agenda Digitale” in data 16 novembre 2023: https://www.agendadigitale.eu/sicurezza/privacy/come-trattare-i-dati-del-personale-scolastico-istruzioni-e-misure-di-sicurezza


La scuola, in qualità di datore di lavoro, può trattare le informazioni personali di docenti, amministrativi e collaboratori scolastici.

È quanto stabilito dalla legge, che prevede che i soggetti pubblici possano trattare i dati dei dipendenti per gestire il rapporto di lavoro e adempiere a specifici obblighi o compiti previsti dalle discipline nazionali di settore, oppure “…per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”.

In questo caso la gestione delle informazioni non si basa sul consenso (dato che quest’ultimo non costituisce un valido presupposto su cui fondare il trattamento, in quanto vi è uno squilibrio tra le due parti del rapporto: il dipendente e il datore di lavoro), ma su norme di settore e adempimenti a obblighi.

I dati dei dipendenti che vengono trattati dalla scuola

In ambito scolastico, docenti e ATA, oltre a essere soggetti autorizzati al trattamento (visto che gestiscono informazioni in nome e per conto della scuola), sono allo stesso tempo “interessati”, in quanto i dati personali di loro appartenenza vengono trattati per disciplinare il rapporto di lavoro.

Ogni istituto gestisce molte informazioni dei dipendenti, tra cui dati anagrafici e di contatto, dati contabili, fiscali e finanziari (per il pagamento delle retribuzioni), e dati inerenti il rapporto lavorativo (reclutamento, formazione, curriculum, competenze, assegni familiari, figli a carico, integrazioni salariali e trattenute, ecc.).

Oltre a questi dati comuni, la scuola tratta anche informazioni particolarmente sensibili e delicate, come ad esempio dati relativi a stato di salute, convinzioni religiose e adesione a sindacati. 

Il Garante per la protezione dei dati personali, nel vademecum “La scuola a prova di privacy” (edizione 2023), ha ricordato come, per tutti gli ambiti lavorativi, siano vietate, a tutela della sfera privata del dipendente, indagini o trattamenti di dati personali non pertinenti rispetto alla mansione e all’attività lavorativa svolta (art. 113 del Codice).

Quando la scuola tratta illecitamente i dati personali

Nonostante la scuola sia autorizzata a trattare i dati personali dei dipendenti, il Garante della privacy, nella sua ultima relazione annuale, ha evidenziato come ancora oggi molte PA pubblichino online dati sulla salute.

È importante ricordare come non possano essere diffusi dati “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”, in ragione della loro particolare delicatezza, e ai sensi dell’art. 2-septies, comma 8, del Codice privacy.

In questi ultimi anni diversi provvedimenti del Garante hanno colpito scuole colpevoli di aver divulgato illecitamente dati relativi alla salute di studenti e lavoratori. 

Per fare un esempio, nel settembre 2022 l’Autorità ha sanzionato con 4.000,00 euro un istituto per aver pubblicato sul proprio sito web istituzionale e sul registro elettronico una circolare riguardante le ferie estive dei collaboratori scolastici, recante in allegato un prospetto del piano ferie che riportava, in corrispondenza del nominativo di una persona, il riferimento alla fruizione dei benefici derivanti dalla legge 5 febbraio 1992, n. 104, e in particolare l’indicazione “104”.

Che cosa ci insegna il Garante della privacy

Il provvedimento appena citato è molto interessante, e spiega quali sono le conseguenze di una scorretta gestione dei dati personali.

Per prima cosa, il Garante ribadisce che il riferimento alla legge 104 – che notoriamente disciplina benefici e garanzie per l’assistenza e l’integrazione sociale e lavorativa dei disabili o dei loro familiari – consente di ricavare informazioni sullo stato di salute di una persona, e che quindi è a tutti gli effetti un dato particolare.

In riferimento alle categorie particolari di dati, ossia che riguardano informazioni concernenti gli aspetti più intimi della vita di un individuo, l’Autorità ricorda che è vietato il loro trattamento, a meno che non ricorra una delle condizioni indicate dall’art. 9 del GDPR, tra cui:

  • Specifiche indicazioni in materia di diritto del lavoro e di sicurezza sociale e protezione sociale
  • Motivi di interesse pubblico rilevante sulla base di norme di legge

In tal caso, i trattamenti di categorie particolari di dati, necessari per motivi di interesse pubblico rilevante, devono essere “previsti dal diritto dell’Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato” (art. 2-sexies, comma 1, del Codice Privacy).

Secondariamente, sempre con questo provvedimento, l’Autorità ricorda che i dati personali dei dipendenti non possono essere messi a conoscenza di soggetti diversi da coloro che sono parte del rapporto di lavoro e che non siano legittimati, in ragione delle scelte organizzative del titolare del trattamento e delle specifiche mansioni svolte, a trattarli in qualità di personale autorizzato

Questa non è una novità introdotta a seguito dell’entrata in vigore del Regolamento Europeo 2016/679.

Il principio era infatti già contenuto nelle “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico” (Provv. n. 23 del 14 giugno 2007).

In sostanza, la scuola deve evitare la circolazione nell’ambiente di lavoro di dati personali riferiti ai docenti o al personale ATA in favore di altri dipendenti che non siano specificatamente autorizzati.

Quindi non tutti possono conoscere e trattare i dati che l’istituto raccoglie per lo svolgimento delle proprie attività.

Nel caso descritto in precedenza, il Garante, nel quantificare la sanzione, ha considerato la delicatezza dei dati personali illecitamente trattati (relativi alla salute, ma anche a vicende personali, familiari e lavorative del dipendente), e ha sottolineato come la diffusione delle informazioni sia avvenuta in contrasto con le indicazioni fornite dalle linee guida (che tutti i dipendenti pubblici dovrebbero conoscere).

Infine, si ricorda come la pubblicazione sul web di atti o documenti che riportano informazioni personali debba sempre avvenire nel rispetto dei principi generali di protezione dei dati, avendo riguardo anzitutto alla sussistenza di idonei presupposti di liceità della diffusione online, e verificando altresì che i dati oggetto di pubblicazione siano “adeguati, pertinenti e limitati” rispetto alle finalità istituzionali perseguite.

Le misure di sicurezza da applicare

Nel trattare i dati dei lavoratori, ciascun istituto, come ha ricordato il Garante nel vademecum “La scuola a prova di privacy”, “…deve adottare misure tecniche e organizzative per prevenire la conoscibilità ingiustificata di dati personali dei propri dipendenti da parte di soggetti terzi (famiglie, studenti, OO.SS., altri soggetti), al fine di evitare la comunicazione illecita di informazioni personali” (ad esempio riguardanti informazioni particolarmente delicate, come lo stato di salute del lavoratore o l’assunzione di provvedimenti di carattere disciplinare o valutativo).

L’istituto deve perciò dotarsi di policy per regolamentare l’attività lavorativa, implementando una politica di controllo degli accessi logici ai dati personali trattati attraverso i sistemi informatici, secondo ruoli e responsabilità definite e profili attribuiti ai singoli utenti.

In questo modo, stabilendo chi può avere accesso a che cosa, ognuno può consultare solo i dati personali strettamente necessari per lo svolgimento dei propri compiti.

Inoltre, prima di assegnare una postazione di lavoro a un dipendente, l’istituto deve adottare misure e politiche per gestire la configurazione di sicurezza dei dispositivi multimediali (impostazioni del sistema operativo, applicazioni, software di office automation, ecc.).

In questo modo viene impedito agli utenti di eseguire azioni – dovute anche solo a un semplice errore – che potrebbero compromettere la sicurezza del sistema informatico (ad esempio, la disattivazione di programmi antivirus, l’installazione e l’esecuzione di software non autorizzato, o l’accesso a siti potenzialmente pericolosi).

Il personale tecnico della scuola, due volte l’anno (all’inizio e alla fine dell’anno scolastico) ha il compito di controllare i computer assegnati ai dipendenti, e di adottare le precauzioni di sicurezza necessarie.

Tutti i PC del personale amministrativo devono avere un antivirus aggiornato, ed essere protetti da un firewall di rete che blocchi i pericoli e l’accesso a determinati siti. 

Si suggerisce altresì di imporre l’impostazione del blocca schermo in caso di mancato uso del computer e di allontanamento del lavoratore dalla propria postazione.

Le policy devono poi vietare l’uso di programmi diversi da quelli ufficialmente installati sul PC assegnato, nonché proibire ai dipendenti di installare autonomamente programmi esterni, sussistendo il pericolo di introdurre virus informatici e/o di alterare la funzionalità delle applicazioni software esistenti.

Infine, oltre a queste e ad altre misure di sicurezza tecniche relative al corretto utilizzo degli strumenti informatici, la scuola ha il dovere di formare il personale coinvolto nel trattamento dei dati sugli obblighi di riservatezza.

Una semplice distrazione o l’incompetenza di un singolo possono rendere conoscibili le informazioni a chiunque, ed è perciò fondamentale che chi tratta dati personali sia adeguatamente istruito.

La formazione responsabilizza il dipendente a svolgere le corrette operazioni di trattamento, limitando così eventuali violazioni e rischi derivanti dalla perdita di riservatezza, integrità e disponibilità dei dati.