Questo articolo è stato pubblicato anche sulla testata specializzata “Agenda Digitale” in data 11 settembre 2023: https://www.agendadigitale.eu/scuola-digitale/la-scuola-a-prova-di-privacy-il-garante-aggiorna-la-guida-per-professori-genitori-e-studenti


Con la pubblicazione della nuova edizione del vademecum “La scuola a prova di privacy”, il Garante mette a disposizione di famiglie e personale scolastico un importante strumento di consultazione volto a dirimere i dubbi più diffusi sul trattamento dei dati personali a scuola, tenendo conto delle numerose novità intercorse nei 7 anni successivi all’edizione del 2016 (prima fra tutte l’applicazione del GDPR, avvenuta il 25 maggio 2018, vale a dire 2 anni dopo la pubblicazione dell’ultimo vademecum).

Scuola e privacy

L’ambito scolastico è per sua natura fortemente interessato alle tematiche inerenti il trattamento dei dati personali, specie se si considera che le scuole, in quanto pubbliche amministrazioni, sono tenute a rispettare due principi fondamentali che spesso finiscono per entrare in conflitto tra di loro: il diritto alla riservatezza da una parte, e il principio di trasparenza amministrativa dall’altra. 

Inoltre, in considerazione del fatto che in ambito scolastico vengono trattati dati personali riferiti in gran parte a minori, esso è da sempre guardato con grande attenzione da parte del Garante della privacy, tant’è vero che presso il sito dell’Autorità è liberamente consultabile un’area FAQ dedicata (costantemente oggetto di aggiornamento), contenente le risposte alle domande più frequenti in materia di scuola e trattamento dei dati.

Il vademecum “La scuola a prova di privacy”: le edizioni del 2012 e del 2016

A ulteriore riprova dell’attenzione dedicata dal Garante al trattamento delle informazioni personali in ambito scolastico, nel 2012 è stato pubblicato sul sito dell’Autorità un vademecum intitolato “La privacy a scuola”, messo a disposizione di tutti gli istituti di ogni ordine e grado.

L’obiettivo era quello di fornire a professori, genitori e studenti indicazioni generali in materia di tutela della privacy in ambito scolastico, sulla base dei provvedimenti adottati in tal senso dal Garante.

Successivamente, sempre in quest’ottica – e per meglio affiancare le scuole nel loro percorso volto ad affermare i principi di riservatezza e dignità della persona come valori fondanti nella formazione dei cittadini – nel 2016 è stata pubblicata una versione più aggiornata e approfondita del vademecum, intitolata, “La scuola a prova di privacy”, contenente una raccolta dei casi maggiormente affrontati dal Garante in tema di trattamento dati in ambito scolastico, per offrire a famiglie, docenti e amministrativi specifici elementi di approfondimento su tematiche come temi in classe, voti, esami, pubblicazione di informazioni online e cyberbullismo.

La nuova edizione del 2023

Più di recente, nel maggio 2023, a seguito delle novità introdotte dal GDPR, nonché alla luce della crescente digitalizzazione delle scuole e delle Pubbliche Amministrazioni in generale, il Garante ha pubblicato una nuova edizione del vademecum “La scuola a prova di privacy”, che ha ampliato e sostituito la precedente versione del 2016.

Il trattamento dei dati a scuola

Nella nuova edizione viene chiarito che la scuola può trattare i dati personali degli studenti e dei lavoratori, anche relativi a categorie particolari di dati (come ad esempio, i dati sullo stato di salute o sulle convinzioni religiose), per il perseguimento delle proprie finalità istituzionali previste dalla normativa di settore (l’erogazione dell’offerta formativa per gli alunni, e la gestione del rapporto di lavoro per il personale scolastico), senza dover ricorrere alla base giuridica del consenso, che in quest’ambito trova applicazione solo in via residuale per lo svolgimento di attività non strettamente connesse a quelle istituzionali, o non previste dall’ordinamento se poste in essere da istituti privati (ad esempio per l’erogazione di corsi di musica, lezioni di lingua straniera, o attività sportive o teatrali non previste dal curricolo scolastico).

L’istituto ha tuttavia l’obbligo di rendere per ogni suo trattamento una specifica informativa, che spieghi agli interessati (e quindi, a seconda dei casi, a studenti, famiglie, docenti e personale ATA) come vengono trattati i loro dati personali.

Il linguaggio di questa informativa dovrà essere facilmente comprensibile anche dai minori, e contenere gli elementi essenziali del trattamento (finalità, base giuridica, indicazione dei recapiti del DPO), e l’enunciazione dei diritti degli interessati, specificando inoltre che le finalità sono limitate esclusivamente al perseguimento delle funzioni istituzionali dell’ente scolastico.

All’interno della scuola, il “titolare del trattamento” (inteso come il soggetto cui fa capo la gestione dei dati, determinando gli scopi e i mezzi di trattamento) è l’istituto nella persona del dirigente scolastico, in quanto suo legale rappresentante, nonché il Ministero dell’Istruzione in qualità di contitolare in relazione a determinati trattamenti (come ad esempio il rapporto di lavoro per quanto riguarda il personale scolastico di ruolo e le supplenze annuali).

Docenti e ATA che concretamente operano le attività di trattamento sono invece identificati come soggetti “autorizzati al trattamento”, che in quanto tali, nel gestire i dati, devono essere formati e attenersi alle specifiche istruzioni impartite dal titolare.

Il nuovo capitolo su mondo connesso e nuove tecnologie

Cyberbullismo, sexting e revenge porn

Rispetto al precedente vamecum, il Garante ha ampliato il capitolo “Mondo connesso e nuove tecnologie”, fornendo indicazioni più dettagliate su cyberbullismo, sexting e revenge porn, con le quali si esortano le vittime a segnalare prontamente l’accaduto a compagni, insegnanti e famiglie, nonché al Garante e alle autorità competenti per le ipotesi più gravi.

Ricordiamo infatti che la diffusione illecita di immagini o video sessualmente espliciti (comunemente nota come “revenge porn”) costituisce reato ai sensi dell’art. 612-ter del codice penale, introdotto dalla L. n. 69/2019.

È infine fondamentale attivarsi con il gestore del social network, inoltrando un’immediata richiesta di cancellazione dei contenuti pregiudizievoli caricati sulla piattaforma.

Registro elettronico

Ampia attenzione viene poi dedicata al registro elettronico, alla luce del suo impiego sempre più diffuso nell’ottica di una maggiore dematerializzazione burocratica e amministrativa anche in ambito scolastico, raccomandando che il rapporto con il fornitore (che è il “responsabile del trattamento”) sia specificamente disciplinato, al fine di impartirgli le istruzioni necessarie.

Quanto al personale scolastico (docenti e amministrativi), viene raccomandato che venga opportunamente istruito sul corretto uso del registro, onde evitare che i dati contenuti nella piattaforma – relativi a docenti o a singoli studenti – vengano messi a disposizione di terzi o di altro personale non autorizzato.

Didattica a distanza

Non potevano poi mancare indicazioni sulla DAD, visto l’ampio ricorso che se ne è fatto negli ultimi anni, specie durante il periodo pandemico.

Le scuole che utilizzano sistemi di didattica a distanza nell’ambito delle loro finalità istituzionali non sono tenute a chiedere il consenso al trattamento dei dati a studenti, genitori e docenti.

Devono tuttavia assicurare la trasparenza, informando gli interessati – con linguaggio facilmente comprensibile – sulle caratteristiche essenziali del trattamento effettuato.

In particolare, se – come quasi sempre accade – la piattaforma per l’erogazione dell’attività di didattica a distanza comporta il trattamento di dati personali di studenti, genitori e docenti, il rapporto con il fornitore dovrà essere regolato da un contratto, o da altro atto giuridico che presti attenzione alle questioni inerenti la sicurezza e la protezione dei dati personali affidati alle piattaforme, le quali – analogamente a quanto avviene per il registro elettronico – assumeranno la qualifica di “responsabili del trattamento”.

Sharenting

Data l’esplosione del fenomeno negli ultimi anni, all’interno della nuova edizione del vademecum il Garante dedica poi particolare attenzione anche alla pratica dello “sharenting”, consistente nella condivisione in rete da parte dei genitori di contenuti riguardanti i figli, la quale può avere ripercussioni negative, soprattutto per i rischi che comporta per l’identità digitale dei minori e la corretta formazione della loro personalità.

Nella nuova versione del vademecum, l’Autorità, rivolgendosi direttamente ai genitori, cerca di responsabilizzarli, esortandoli a prestare attenzione ai contenuti che condividono su internet riguardanti i figli, consigliando di adottare alcuni accorgimenti, come ad esempio coprire il viso del minore con una emoticon, limitare le impostazioni di visibilità delle immagini sui social, evitare la creazione di account dedicati al minore, e leggere bene le informative sulla privacy dei siti  su cui caricano foto e/o i video.

Conclusioni

Il sistema educativo italiano è una grande risorsa per tutti i cittadini, così come è indubbio il fatto che mai come in questo periodo storico vi sia così tanta attenzione e consapevolezza sull’importanza del corretto trattamento dei dati personali.

In un contesto così delineato, diventa perciò fondamentale rendere le scuole sempre più consapevoli del loro ruolo istituzionale, nell’ottica di metterle nella condizione di poter meglio sensibilizzare ed educare gli adulti di domani sulle tematiche riguardanti la privacy.