Questo articolo è stato pubblicato anche sulla testata specializzata “Agenda Digitale” in data 6 febbraio 2024: https://www.agendadigitale.eu/sicurezza/privacy/gli-esperti-a-scuola-e-il-trattamento-dei-dati-personali-una-guida-per-non-sbagliare
In questi mesi le scuole hanno dovuto selezionare ditte, esperti e professionisti per i progetti relativi al PNRR “Piano Scuola 4.0”.
Questi soggetti, una volta contrattualizzati, iniziano a svolgere il proprio incarico, e molto spesso si trovano a trattare dati personali.
Quasi mai però ci si pone il problema di stabilire a che titolo queste figure gestiscono le informazioni dell’istituto e dei suoi utenti.
Il trattamento dei dati da parte di soggetti terzi rispetto alla scuola
Con riferimento a qualsiasi soggetto esterno (sia persona fisica che giuridica) a cui viene affidato lo svolgimento di attività di trattamento dei dati, occorre definire a che titolo lo stesso gestisce le informazioni.
Vi sono in sostanza quattro tipi di inquadramento.
Il soggetto esterno può essere nominato:
- Titolare autonomo del trattamento
- Contitolare del trattamento
- Responsabile del trattamento
- Autorizzato al trattamento
La valutazione va effettuata in modo sostanziale, con specifico riguardo all’incarico concretamente svolto, nonché all’effettivo grado di autonomia esercitato dal soggetto in questione.
Titolare del trattamento
Titolare del trattamento è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali” (art. 4 del GDPR).
Il titolare stabilisce perciò le finalità e le modalità di gestione dei dati.
È insomma colui che decide “perché” e “come” devono essere trattate le informazioni.
Ad esempio, il medico competente – come ha precisato il Garante per la protezione dei dati personali – è titolare del trattamento, in quanto “nello svolgimento dei compiti che la legge gli attribuisce in via esclusiva (attività di sorveglianza sanitaria e tenuta delle cartelle sanitarie e di rischio dei singoli lavoratori), il professionista è l’unico legittimato ex lege a trattare in piena autonomia e competenza tecnica i dati personali di natura sanitaria indispensabili per tale finalità, non potendo essere in alcun modo trattate dal datore di lavoro informazioni relative, ad esempio, alla diagnosi o all’anamnesi familiare del lavoratore, se non con riferimento al solo giudizio di idoneità alla mansione specifica ed alle eventuali prescrizioni che il professionista fissa come condizioni di lavoro” (Relazione 2019 – Autorità Garante per la protezione dei dati personali).
Il medico, pertanto, è l’unica figura legittimata a gestire i dati sanitari dei dipendenti della scuola, nonché soggetto indispensabile ai fini dell’applicazione della normativa in materia di igiene e sicurezza sul lavoro, che tratta informazioni personali per finalità proprie.
Possiamo quindi affermare che il ruolo di titolare del trattamento dipende dall’effettivo potere decisorio esercitato in concreto sulle scelte autonome circa le finalità, le modalità e i mezzi del trattamento, nonché sulle misure di sicurezza implementate.
Altro documento fondamentale da analizzare per definire la figura del titolare e degli altri soggetti sono le Linee Guida 7/2020, sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR, adottate il 7 luglio 2021 dal Comitato Europeo per la Protezione dei Dati (EDPB).
In esse, l’EDPB afferma che si considera titolare del trattamento sia colui che viene esplicitamente designato dall’ordinamento come tale (competenza legale esplicita), che colui che compie il trattamento in quanto necessario all’esercizio delle funzioni/attività che la legge gli attribuisce (competenza legale implicita).
La titolarità, insomma, può essere definita a norma di legge, o derivare da un’analisi degli elementi di fatto o delle circostanze del caso.
Infine, ricordiamo che, nel caso di persone giuridiche, titolare del trattamento è l’ente nel suo complesso, non la persona fisica che lo rappresenta.
Ogni istituzione scolastica, ad esempio, in ragione della sua autonomia organizzativa rispetto al Ministero dell’Istruzione e del Merito, è titolare del trattamento.
Contitolare del trattamento
Spesso le scuole, per progetti di tipo didattico, vengono affiancate da enti e associazioni che si riconoscono contitolari del trattamento.
Occorre tuttavia verificare caso per caso, con l’aiuto del responsabile della protezione dei dati (DPO), se effettivamente sussiste tale contitolarità.
L’art. 26 del GDPR, stabilisce che “allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento”.
La contitolarità può dunque sorgere quando più soggetti sono coinvolti nella determinazione delle finalità e dei mezzi di un trattamento.
Affinché vi sia contitolarità è necessario che tali soggetti definiscano congiuntamente, mediante apposito accordo, le finalità e le modalità con cui devono essere trattati i dati personali, definendo altresì le rispettive responsabilità per quanto riguarda la conformità al GDPR.
È inoltre indispensabile che l’accordo, nel suo contenuto essenziale, sia portato a conoscenza degli interessati (ossia delle persone fisiche cui si riferiscono i dati personali oggetto di trattamento).
La contitolarità si verifica quando il trattamento dei dati non può essere effettuato senza la partecipazione di entrambe le parti, in quanto le attività di trattamento di ciascuna parte sono inscindibili da quelle dell’altra.
In ambito scolastico, i singoli istituti e il Ministero dell’Istruzione e del Merito sono contitolari del trattamento dei dati dei docenti, a tempo indeterminato e a tempo determinato, se la supplenza è annuale.
Per le supplenze infrannuali, invece, titolare del trattamento è esclusivamente la scuola, in quanto è essa stessa a contrattualizzare gli insegnanti.
Responsabile del trattamento
Il responsabile del trattamento è la persona fisica o giuridica, distinta dal titolare, che elabora dati per conto di quest’ultimo e sotto il suo controllo.
Più precisamente, l’art. 4 del GDPR definisce responsabile del trattamento “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.
Requisiti fondamentali per poter agire come responsabili del trattamento sono due:
- Essere un soggetto esterno, distinto dal titolare
- Elaborare i dati personali per conto del titolare
Il responsabile è quindi un soggetto esterno all’organizzazione, che svolge una o più operazioni di trattamento su richiesta o delega del titolare.
Ad esempio, le scuole devono designare responsabili del trattamento le ditte che forniscono gli applicativi per la segreteria o il registro elettronico, ma anche l’esperto informatico a cui affidano la gestione della rete interna.
Come detto, il responsabile del trattamento è un soggetto che deve agire in conformità con le istruzioni impartite da altri, senza alcuna ingerenza nella determinazione delle finalità del trattamento stesso.
L’EDPB, nelle proprie linee guida, ricorda che non tutti i fornitori di servizi che elaborano dati personali sono automaticamente responsabili del trattamento ai sensi del GDPR.
Tale ruolo deriva infatti dalle attività concretamente svolte dal soggetto in uno specifico contesto.
In particolare, l’EDPB precisa che, nel caso in cui il trattamento dei dati personali sia incidentale e non costituisca l’oggetto primario del servizio affidato al fornitore (il quale non è nella posizione di assumere decisioni autonome in merito al servizio stesso), deve essere esclusa la qualifica di responsabile del trattamento.
Pertanto la scuola, con l‘ausilio del proprio DPO, ha il dovere di svolgere un’analisi caso per caso, per accertare il grado di influenza che ciascun fornitore ha effettivamente nella determinazione delle finalità e dei mezzi del trattamento, e valutare se designarlo o meno responsabile.
Ad esempio, il Garante della privacy ha precisato che la compagnia assicurativa aggiudicataria di un bando di gara promosso da enti pubblici per l’affidamento dei servizi assicurativi “assume la posizione di titolare autonomo del trattamento non ponendo in essere un trattamento di dati per conto dell’ente aggiudicante rispetto al quale persegue interessi separati e distinti. L’attività delle compagnie assicuratrici, che operano sotto la vigilanza di un’autorità di controllo di settore, è disciplinata da una specifica normativa (artt. 1882 ss. c.c.; d.lgs. n. 209/2005, codice delle assicurazioni; regolamento Ivass n. 40/2018) che definisce in maniera dettagliata tutti gli aspetti dell’attività assicurativa, individuando gli obblighi che ricadono su ognuna delle parti contraenti”.
L’ente aggiudicante e la compagnia assicuratrice perseguono dunque interessi separati e distinti, che impediscono all’assicurazione di porre in essere un trattamento di dati “per conto” dell’ente aggiudicante.
In tale parere, il Garante ha inoltre suggerito l’utilità di inserire nei bandi di gara clausole che consentano di selezionare contraenti in grado di fornire le più idonee garanzie in materia di protezione dei dati personali.
Autorizzato al trattamento
Infine vi è il soggetto autorizzato/incaricato al trattamento, che è colui che compie “trattamenti sotto l’autorità del titolare o del responsabile”, e per questo deve “essere istruito in tal senso da questi ultimi”.
Le persone autorizzate sono solo persone fisiche che effettuano materialmente le operazioni di trattamento sui dati personali, e operano sotto il controllo o le dipendenze del titolare.
Sotto l’aspetto sostanziale, la persona autorizzata è quindi un mero esecutore materiale delle operazioni di trattamento, che sono pianificate e controllate dal titolare.
Pertanto, tutto il personale scolastico, trovandosi a trattare e gestire dati per conto dell’istituto, deve essere designato autorizzato al trattamento.
Com’è ovvio, nello svolgimento del proprio incarico, l’autorizzato dovrà attenersi scrupolosamente alle istruzioni impartitegli dal titolare.
Il Garante della privacy, con provvedimento dell’8 giugno 1999, ha affermato che possono essere designati autorizzati anche soggetti “terzi” ed esterni (“tale possibilità può essere utilizzata sia quando gli incaricati operano all’interno dell’ordinaria struttura del titolare, sia quando essi coadiuvano il titolare stesso operando presso un centro esterno”).
L’Autorità ha individuato due caratteristiche che devono avere gli autorizzati:
- Essere una persona fisica
- Operare necessariamente sotto la “diretta autorità” del titolare o dell’eventuale responsabile del trattamento, autorità che si concretizza anche attraverso istruzioni periodiche
Alla luce di quanto detto, si ritiene che possano essere considerati autorizzati al trattamento eventuali docenti ed esperti esterni (qualora siano persone fisiche), incaricati dall’istituto a svolgere attività di ampliamento dell’offerta formativa, come previsto dal PTOF.
Conclusioni
La scuola, quando stipula contratti con soggetti terzi, deve sempre valutare se gli accordi prevedono il trattamento di dati personali, e in questo caso definire, con l’ausilio del responsabile della protezione dei dati, a che titolo tali soggetti possono gestire le informazioni.
Ricordiamo infatti che i dati personali devono essere trattati in modo lecito e trasparente, poiché, in caso contrario, il trattamento comporta una violazione e conseguenti sanzioni a carico dell’istituto.