Questo articolo è stato pubblicato anche sulla testata specializzata “Agenda Digitale” in data 8 agosto 2024: https://www.agendadigitale.eu/sicurezza/privacy/le-sanzioni-del-garante-privacy-nelle-scuole-errori-comuni-e-come-evitarli
Nel contesto scolastico, la protezione dei dati personali riveste un’importanza cruciale, specialmente in un’era sempre più digitalizzata.
Ogni anno il Garante per la protezione dei dati personali pubblica una Relazione annuale che offre una panoramica dettagliata sulle attività svolte e sulle sanzioni emesse, e in quella 2023 ha messo in luce numerose violazioni in ambito scolastico, dal trattamento improprio delle informazioni degli alunni alla comunicazione non autorizzata di dati a terzi.
Illustriamo di seguito le principali sanzioni dell’Autorità, e forniamo alcuni consigli su come gestire correttamente i dati personali, garantendo così il rispetto delle normative vigenti e la protezione dei diritti fondamentali degli studenti.
L’ambito scolastico e universitario
Nell’introduzione, il Garante ha evidenziato come lo scorso anno sia stato caratterizzato da interventi innovativi legati alla digitalizzazione, all’intelligenza artificiale e al Piano nazionale di ripresa e resilienza, oltre a tematiche costanti come il contrasto al marketing aggressivo, la protezione dei soggetti vulnerabili e l’internazionalizzazione dei processi.
In tutti i suoi interventi, il Garante ha cercato di bilanciare gli interessi e i diritti in gioco, continuando a proteggere i diritti fondamentali della libertà personale e sociale.
Leggendo la Relazione, si evince che nel corso del 2023 l’Autorità è intervenuta anche nel contesto scolastico, risolvendo reclami e segnalazioni riguardanti la pubblicazione su siti web di istituti di dati personali degli alunni, e la comunicazione delle informazioni a terzi senza una base giuridica idonea, e in violazione dei principi applicabili al trattamento dei dati.
La pubblicazione degli elenchi degli alunni
In questo contesto, il Garante ha ammonito una scuola che aveva pubblicato, nella sezione amministrazione trasparente del sito web istituzionale, una nota del dirigente scolastico contenente gli elenchi nominativi degli alunni ammessi alla frequenza del tempo pieno della scuola primaria, e l’indicazione della classe di assegnazione degli stessi.
L’Autorità ha ricordato che ogni trattamento di dati nel settore pubblico, per essere lecito, deve essere necessario per l’adempimento di un obbligo legale da parte del titolare del trattamento o per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri e, in tale caso, il trattamento deve trovare il proprio fondamento nell’art. 2-ter, commi 1 e 3, del d.lgs. n. 196 del 30 giugno 2003, in una norma di legge o, nei casi previsti dalla legge, di regolamento, o in un atto amministrativo generale.
Il Garante ha inoltre ribadito più volte alle scuole di non pubblicare elenchi degli studenti sul portale istituzionale.
In particolare, ha ricordato la FAQ n. 10, pubblicata sul proprio sito, e redatta in collaborazione con il Ministero dell’istruzione per la gestione dell’emergenza Covid, con la quale viene specificato che la diffusione dei dati relativi alla composizione delle classi sul sito web degli istituti scolastici non è consentita, in quanto tale operazione di trattamento è lecita solo nei casi previsti dall’art. 2-ter del Codice.
Questa posizione è stata specificata anche nel Vademecum del 2023 “La scuola a prova di privacy”, ove è scritto che “la diffusione dei dati relativi alla composizione delle classi sul sito web istituzionale non è consentita in quanto la normativa in materia di protezione dei dati personali prevede che la diffusione dei dati personali è lecita solo se prevista dalle disposizioni di settore”.
Nel Vademecum, il Garante ha precisato che i nominativi degli studenti distinti per classe possono essere resi noti per le classi prime attraverso l’indirizzo email comunicato dai genitori/tutori in fase di iscrizione.
Alle famiglie degli alunni delle classi successive, l’elenco può essere condiviso nell’area del registro elettronico a cui accedono tutti gli studenti della classe di riferimento.
Infine, il Garante precisa che, secondo una prassi ormai consolidata, è consentita “la pubblicazione al tabellone esposto nella bacheca scolastica dei nominativi degli studenti distinti per classe. Tale modalità di pubblicazione del tabellone dovrebbe essere adottata in via residuale solo qualora l’istituzione scolastica sia sprovvista di registro elettronico o sia impossibilitata ad utilizzare strumenti di comunicazione telematica dei dati”.
In ogni caso, si ricorda che gli elenchi relativi alla composizione delle classi devono contenere i soli nominativi degli alunni, e non riportare informazioni relative allo stato di salute degli studenti o altri dati personali non pertinenti (ad es. luogo e data di nascita, ecc.).
Il contenuto delle comunicazioni condivise
Nella Relazione 2023, il Garante ricorda altresì di aver ammonito un istituto per una comunicazione via email contenente informazioni sul comportamento scorretto di due alunni, inviata a tutti i genitori della classe, agli insegnanti e alla dirigente scolastica, utilizzando il campo “copia conoscenza nascosta”.
Con specifico riferimento all’accaduto, anche il quest’occasione l’Autorità ha ricordato quanto già ribadito più volte, ossia che “nelle circolari, nelle delibere o in altre comunicazioni non rivolte a specifici destinatari non possono essere inseriti dati personali che rendano identificabili gli alunni (ad esempio, quelli coinvolti in casi di bullismo o quelli cui siano state comminate sanzioni disciplinari o interessati da altre vicende delicate)” (vedi: FAQ n. 7 Scuola e Privacy e Vademecum ed. 2023 “La scuola a prova di privacy”, pag. 28).
Il Garante ha perciò ritenuto che, sebbene l’invio della comunicazione in questione non abbia riguardato soggetti esterni alla comunità scolastica e non abbia determinato una diffusione di dati personali, la conoscibilità delle informazioni sia avvenuta comunque in favore di un novero, determinato o determinabile, di soggetti non legittimati, ossia tutti i genitori, dando in tal modo luogo a una comunicazione di dati personali in violazione della normativa privacy in vigore.
La condivisione errata di informazioni ai controinteressati
Nel 2023, il Garante ha poi censurato una scuola per aver inviato ai controinteressati (individuati ai sensi dell’art. 3 del d.P.R. n. 184/2006), in risposta a una richiesta di accesso alla documentazione amministrativa presentata all’istituto ai sensi della l. n. 241/1990, copia dell’istanza, recante, oltre al nominativo della reclamante, anche ulteriori dati personali, quali il numero di telefono e copia del documento di identità dell’interessata.
La scuola è tenuta a dare comunicazione ai controinteressati della richiesta di accesso agli atti contenenti i loro dati.
Pertanto l’Autorità ha chiarito che la contestazione mossa non riguardava la comunicazione dell’identità del reclamante ai soggetti controinteressati nel procedimento, né trasmissione della mera istanza di accesso, “quanto piuttosto l’invio della copia del documento d’identità integrale del reclamante nonché delle informazioni personali contenute nell’istanza di accesso, quali il numero di telefono e l’indirizzo e-mail”.
Tutte queste informazioni, oltre ad essere prive di idonei presupposti normativi, non erano necessarie né funzionali alla presentazione di un’eventuale opposizione, e pertanto violavano il principio di minimizzazione.
Infine, relativamente alle richieste di accesso e ai profili privacy, si riporta l’art. 59 del D.Lgs. 196/2003, “Accesso a documenti amministrativi e accesso civico”, che prevede, al comma 1, che “Fatto salvo quanto previsto dall’articolo 60, i presupposti, le modalità, i limiti per l’esercizio del diritto di accesso a documenti amministrativi contenenti dati personali, e la relativa tutela giurisdizionale, restano disciplinati dalla legge 7 agosto 1990, n. 241, e successive modificazioni e dalle altre disposizioni di legge in materia, nonché dai relativi regolamenti di attuazione, anche per ciò che concerne i tipi di dati di cui agli articoli 9 e 10 del regolamento e le operazioni di trattamento eseguibili in esecuzione di una richiesta di accesso”.
Pertanto, relativamente:
- ai dati personali comuni, il diritto all’accesso ai documenti amministrativi può prevalere sull’interesse alla riservatezza, nel rispetto del principio di minimizzazione;
- alle categorie particolari di dati e ai dati relativi a condanne penali, il diritto all’accesso prevale solo laddove sia strettamente indispensabile;
- ai dati genetici e/o idonei a rivelare lo stato di salute e la vita sessuale, il diritto di accesso prevale esclusivamente se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso ai documenti amministrativi consiste in un diritto della personalità o in un altro diritto o libertà fondamentale.
A tal proposito, nella gestione degli accessi e consultazione dei documenti detenuti dall’istituzione scolastica da parte di terzi, la scuola deve informare il responsabile della protezione dei dati personali, e consultarsi con lui relativamente alle richieste pervenute e agli aspetti privacy.
Conclusioni
Questo articolo vuole essere un supporto per dirigenti e personale scolastico che trattano dati personali, sottolineando l’importanza di conoscere le posizioni dell’Autorità, e di garantire una formazione continua sulla protezione dei dati e sulla corretta gestione delle comunicazioni tra scuola e famiglia.