Questo articolo è stato pubblicato anche sulla testata specializzata “Agenda Digitale” in data 24 maggio 2024: https://www.agendadigitale.eu/scuola-digitale/le-ispezioni-del-garante-privacy-nelle-scuole-registro-e-suite-digitali
Con il provvedimento del 29 dicembre 2023, in ossequio ai poteri di indagine riconosciuti all’Autorità di controllo da parte dell’art. 58 del GDPR e dagli artt. 157 e 158 del D.lgs. n. 196/2003, il Garante della privacy ha reso noto che, per il periodo gennaio/luglio 2024, la sua attività ispettiva sarà indirizzata, tra gli altri soggetti, anche alle istituzioni scolastiche, relativamente ai trattamenti di dati personali svolti attraverso le “piattaforme di registro elettronico e suite digitali”.
Durante la prima metà di quest’anno, dunque, le scuole potranno essere oggetto di ispezioni disposte d’ufficio dallo stesso Garante, che si potrà avvalere anche del supporto del nucleo ispettivo della Guardia di Finanza.
Onde evitare spiacevoli sorprese, è bene quindi che gli istituti si facciano trovare preparati, nell’ipotesi in cui si trovino alle prese con richieste di documentazione da parte dell’Autorità.
Alla luce di quanto annunciato dallo stesso Garante, le scuole dovranno dunque conservare ed esibire la documentazione inerente il registro elettronico ed eventuali suite digitali.
Registro elettronico
In merito al registro elettronico e al trattamento dei dati, le scuole dovrebbero possedere i seguenti documenti:
- Nomina del fornitore quale responsabile del trattamento, ex art. 28 del GDPR
- Documentazione relativa alle misure di sicurezza tecniche e organizzative adottate dal fornitore
- Informativa privacy relativa al trattamento dei dati degli alunni e del personale scolastico
L’impiego del registro elettronico è, relativamente alla gestione dei dati, regolamentato da un contratto, poiché il fornitore del servizio tratta i dati di studenti, genitori, docenti, amministrativi e altro personale per conto della scuola.
Il fornitore, perciò, deve essere designato responsabile del trattamento e, in quanto tale, fornire all’istituto adeguate garanzie in ordine alle misure di sicurezza tecniche e organizzative adottate.
Solitamente, le principali aziende fornitrici del servizio di registro elettronico sono consapevoli del loro inquadramento a responsabili del trattamento e, all’atto della stipula del contratto di fornitura, consegnano già alle scuole uno specifico atto di nomina quale responsabile del trattamento, ex art. 28 del GDPR, unitamente alla documentazione di cui sopra, attestante l’adozione di adeguate misure di sicurezza volte a proteggere i dati degli interessati.
Il responsabile è quindi un soggetto esterno all’organizzazione, che svolge una o più operazioni di trattamento su richiesta o delega del titolare in modo lecito e legittimo, negli ambiti di propria competenza definiti dell’atto di nomina.
Tale designazione contiene gli obblighi e i limiti del trattamento dei dati per il responsabile, tra cui la durata, le natura e le finalità, nonché il tipo di dati personali e le categorie di interessati, e gli obblighi e i diritti del titolare.
Più genericamente, si ricorda che, prima di ricorrere a un responsabile del trattamento, le scuole devono verificare che quest’ultimo presenti garanzie sufficienti per mettere in atto opportune misure tecniche a tutela dei diritti degli interessati.
Al fine di ottenere maggiore trasparenza, è inoltre opportuno che le scuole, all’interno delle loro informative privacy relative al trattamento dei dati, specifichino a studenti, genitori e personale scolastico, con un linguaggio facilmente comprensibile anche ai minori, che i loro dati possono essere legittimamente comunicati all’azienda fornitrice del registro elettronico, e che le finalità perseguite sono limitate esclusivamente al perseguimento dei compiti istituzionali della scuola.
Suite digitali
In merito alle suite digitali e al trattamento dei dati, le scuole dovrebbero possedere i seguenti documenti:
- Informativa privacy per le attività didattiche digitali
- Nomina del fornitore quale responsabile del trattamento, ex art. 28 del GDPR
- Valutazione del rischio con parere del responsabile della protezione dei dati
- Autorizzazione al trattamento e istruzioni per l’amministratore della piattaforma
- Regolamenti per la DDI
ll Garante della privacy ha più volte specificato, sin dai primi utilizzi dei sistemi di didattica a distanza dovuti dalla pandemia, che le scuole, nell’ambito delle proprie finalità istituzionali, non devono chiedere il consenso al trattamento dei dati di studenti, genitori e docenti, qualora impieghino strumenti indispensabili per lo svolgimento dell’attività, ma che devono informare gli interessati di tale trattamento.
Pertanto, per ragioni di trasparenza, gli istituti hanno il dovere di predisporre un’informativa privacy per le attività didattiche digitali.
Per l’inizio dell’anno scolastico 2020/2021, il Ministero dell’Istruzione aveva predisposto uno specifico documento – con la collaborazione dell’Ufficio del Garante della privacy – per fornire alle scuole linee di indirizzo comuni e principi generali per l’implementazione della DDI, con particolare riguardo agli aspetti inerenti alla sicurezza in rete e alla tutela dei dati personali.
In tale occasione, oltre che nel recente vademecum “La scuola a prova di privacy”, è stata ribadita la necessità di informare tutti gli interessati (alunni, genitori e docenti), con un linguaggio comprensibile anche ai minori, relativamente alle caratteristiche essenziali del trattamento che viene effettuato per l’erogazione della didattica digitale.
Anche in questo caso, le scuole, se ricorrono a un soggetto esterno per la gestione dei servizi per la DDI (come ad esempio nel caso di Google o Microsoft), sono tenute a nominarlo “responsabile del trattamento”.
Solitamente, in queste situazioni, e per le suite citate, l’atto di nomina è disponibile all’interno dell’area riservata della piattaforma.
L’istituto, come suggerito anche dal Garante della privacy, ha altresì il dovere di effettuare una valutazione per determinare i possibili rischi legati al trattamento posto in essere (indipendentemente dal tipo di piattaforma utilizzata per la DDI), mettendo in atto le opportune misure di sicurezza per tutelare i dati.
In tali casi è sufficiente una valutazione del rischio, che suggeriamo di effettuare con il modello dell’Enisa, che dovrà poi essere analizzata e validata dal responsabile della protezione dei dati (DPO).
La valutazione di impatto, invece, deve essere svolta, anche su indicazione del proprio DPO, solo se il trattamento effettuato, per quanto relativo a minorenni e a lavoratori, presenta ulteriori caratteristiche suscettibili di aggravarne i rischi.
Inoltre, è indispensabile che le scuole diano una specifica autorizzazione al trattamento per il soggetto designato come amministratore della piattaforma digitale, in ragione del fatto che avrà la possibilità di intervenire direttamente sui dati personali mediante la creazione/cancellazione degli account e la possibilità di visualizzare gli accessi alla piattaforma.
Infine, è bene che gli istituti tengano traccia di tutti i regolamenti, le policy e le istruzioni adottate relative alla DDI.
Altri documenti
Altri documenti da redigere ed esibire sono:
- Registro delle attività di trattamento
- Nomine per il personale e attività formativa svolta
- Informative
- Policy
- Misure di sicurezza adottate
Di tutto questo elenco ci soffermiamo in particolare sul registro delle attività di trattamento, punto di partenza di qualsiasi ispezione, il quale viene definito dal Garante della privacy, all’interno delle sue FAQ, come “…un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del RGPD) relative alle operazioni di trattamento svolte dal titolare. […] Costituisce uno dei principali elementi di accountability del titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività”.
Il registro delle attività di trattamento è dunque un documento indispensabile per la corretta gestione dei dati degli interessati, in linea con il principio di responsabilizzazione (c.d. “accountability”) previsto dal GDPR, e va sempre protocollato da parte della scuola, in modo da attribuirgli una data certa.
Conclusioni
Certamente, essere sottoposti a un’ispezione non è un’esperienza piacevole.
Tuttavia, una preparazione accurata, comprendendo quali documenti produrre e presentare durante i controlli, può aiutare a gestire la situazione con maggiore tranquillità.
Le scuole, poi, possono contare sull’aiuto del responsabile della protezione dei dati, il quale è un valido punto di riferimento anche in questi frangenti.
Per garantire l’efficacia del suo supporto, è essenziale che il DPO venga coinvolto in tutte le questioni relative al trattamento dei dati personali, possibilmente prima di implementare nuove misure.
Inoltre, è importante ricordare che, anche dopo il mese di luglio, le scuole non dovranno abbassare la guardia, rimanendo costantemente preparate e consapevoli della possibilità di controlli, che potranno avvenire, oltre che per iniziativa dello stesso Garante, anche a seguito di segnalazioni o reclami da parte degli interessati.