Il seguente articolo è stato pubblicato anche sulla testata specializzata “Agenda Digitale” in data 12 settembre 2022: https://www.agendadigitale.eu/scuola-digitale/nuovo-anno-scolastico-attenti-alla-privacy-ecco-cosa-devono-fare-le-scuole-per-proteggerla
Il nuovo anno scolastico è partito, senza più restrizioni, controlli di green pass e verifiche degli ingressi dovuti dalle disposizioni emergenziali, che hanno esaurito la loro validità il 31 agosto 2022.
Per iniziare al meglio, ricordiamo a dirigenti e personale amministrativo cos’è necessario fare per gestire e tutelare la privacy degli utenti della scuola.
Per prima cosa, il responsabile della protezione dei dati deve aggiornare e revisionare tutta la documentazione predisposta dall’istituto.
Ma da dove iniziare?
In particolare, è bene partire dai seguenti documenti:
- Organigramma privacy, lettere di incarico e istruzioni al trattamento per il personale, revisione nomine e controllo dei responsabili del trattamento
- Informative privacy
- Registro delle attività di trattamento
Ogni anno, come primo step, le scuole devono verificare le nomine effettuate, i responsabili del trattamento designati e i contenuti dell’organigramma privacy.
Si suggerisce altresì di autorizzare e formare al trattamento dei dati il personale neoassunto, e di organizzare un corso di formazione o definire linee guida per tutti i dipendenti (anche per quelli assunti a tempo indeterminato).
L’aggiornamento delle informative
Successivamente, le scuole sono tenute ad aggiornare le informative per tutti gli interessati (alunni, genitori, fornitori e dipendenti).
La chiarezza è il pilastro base della comunicazione: i documenti devono avere forma concisa, ed essere facilmente accessibili e intellegibili da parte di chiunque.
Si ricorda poi che le informative devono contenere le informazioni relative al periodo di conservazione di dati, la base giuridica, i diritti dell’interessato e i contatti del responsabile della protezione dei dati, così come soddisfare tutti i requisiti previsti dagli artt. 12, 13 e 14 del GDPR.
Lo scopo è quello di informare la persona dell’esistenza del trattamento, nonché di mettere a sua disposizione tutte le informazioni necessarie.
Ogni volta che vengono raccolti dati – ad esempio per l’iscrizione o per un contratto – va perciò consegnata all’interessato un’informativa per la privacy.
Relativamente ai tempi di conservazione delle informazioni, si ricorda che la scuola deve archiviare i dati secondo i tempi definiti dal nuovo “Massimario di conservazione e di scarto per le istituzioni scolastiche”.
Il registro delle attività di trattamento
Tra i vari obblighi del titolare vi è anche la tenuta del registro delle attività di trattamento, documento che va aggiornato con regolarità (si consiglia in ogni caso una prima revisione già all’inizio dell’anno scolastico).
Nel registro vengono annotate le informazioni su tutti i trattamenti effettuati dall’istituto.
Questo documento svolge un duplice ruolo: oltre a permettere e agevolare eventuali verifiche da parte del Garante della privacy, risulta estremamente utile anche per chi lo redige, poiché consente di avere una visione d’insieme, sempre aggiornata, dei trattamenti sui dati personali messi in atto sotto la propria responsabilità, dettagliandone ogni caratteristica.
Il registro delle attività di trattamento è anche uno strumento indispensabile per la valutazione e l’analisi del rischio, in quanto consente la ricognizione, la mappatura e la valutazione di conformità di tutte le attività svolte dalla scuola sui dati degli utenti, nonché prova che l’azione del titolare sia pienamente rispondente alle richieste della normativa europea.
Che cosa va pubblicato sul sito web della scuola?
La scuola deve ricordarsi di aggiornare la pagina sul sito internet con la documentazione allegata, se la stessa viene modificata.
Sul portale istituzionale vanno anche pubblicati i dati di contatto del responsabile della protezione dei dati (RPD).
Qualche mese fa il Garante della privacy, con provvedimento n. 174 del 12 maggio 2022, ha sanzionato per la prima volta un comune per la mancanza di una valida e corretta designazione di un responsabile della protezione dei dati (RPD).
L’Autorità, tra i vari aspetti, ha evidenziato che: “il mancato aggiornamento dei dati di contatto del RPD, tanto sul sito web dell’ente quanto nella relativa comunicazione all’Autorità, costituisce una condotta sanzionabile al pari della mancata pubblicazione/comunicazione”.
Detto questo, occorre ricordare che è fondamentale che tutte le pubbliche amministrazioni, tra cui le scuole, pubblichino sul sito i dati di contatto del proprio RPD, e che tale obbligo deriva dall’art. 37, par. 7, del Regolamento Europeo 2016/679 (GDPR).
In relazione alle modalità di pubblicazione dei dati di contatto del RPD, il Garante evidenzia che tale obbligo “mira a garantire che […] gli interessati (all’interno o all’esterno dell’ente/organismo titolare o responsabile del trattamento) […] possano contattare il RPD in modo facile e diretto” (“Linee guida sui responsabili della protezione dei dati”).
Inoltre l’Autorità ribadisce che la “mera pubblicazione dell’atto di designazione del RPD, specialmente se effettuata indistintamente assieme a tutti gli altri atti e provvedimenti amministrativi adottati dal comune e pubblicati per finalità di trasparenza dell’azione amministrativa o di pubblicità integrativa dell’efficacia, non può, infatti, ritenersi idonea a soddisfare l’obbligo di pubblicità previsto dal Regolamento, poiché gli interessati non sono messi in condizione di reperire facilmente e direttamente i dati di contatto del RPD”.
Le scuole devono perciò pubblicare sul sito web istituzionale i dati di contatto del RPD all’interno di una sezione facilmente riconoscibile dall’utente e accessibile già dalla homepage.
Il Garante, nelle “Faq sul responsabile della protezione dei dati (RPD) in ambito pubblico”, afferma che “per quanto attiene al sito web, può risultare opportuno inserire i riferimenti del RPD nella sezione “amministrazione trasparente”, oltre che nella sezione “privacy” eventualmente già presente”.
Relativamente al sito web, si ricorda altresì che la scuola deve pubblicare online solo dati la cui diffusione risulti realmente necessaria, proporzionata alla finalità di trasparenza perseguita e prevista dalle norme.
La pubblicazione sul sito degli elenchi degli alunni suddivisi per classi
Spesso proprio in questo periodo capita di trovare sui siti istituzionali delle scuole gli elenchi degli alunni suddivisi per classi.
Ebbene, questa è una prassi sbagliata.
Già dieci anni fa infatti, con provvedimento n. 383 del 6 dicembre 2012, il Garante per la privacy aveva sanzionato una scuola per aver diffuso sul proprio sito internet i nominativi e gli elenchi degli alunni iscritti alle classi prime.
Questo nonostante l’appello del dirigente, che si era giustificato sostenendo che la pubblicazione degli elenchi rientrasse nelle finalità di trasparenza amministrativa della scuola, in quanto pubblica amministrazione.
L’Autorità in questo caso ha affermato che non è accettabile diffondere i nominativi dei propri studenti distinti per sezioni sul sito web in assenza di una norma di legge o di un regolamento che ammetta tale operazione di trattamento dei dati personali.
La pubblicazione online dei nomi sul portale istituzionale determina infatti una diffusione illecita di informazioni da parte di soggetti pubblici.
Sul tema è intervenuto qualche anno fa anche il Ministero dell’Istruzione, il quale ha specificato che: “la diffusione dei dati relativi alla composizione delle classi sul sito web istituzionale non è consentita in quanto, secondo l’art.2-ter del Codice in materia di protezione dei dati personali, la diffusione dei dati personali è lecita solo se disposta espressamente dalla norma di legge o, nei casi previsti dalla legge, di regolamento” (oggi anche da atti amministrativi generali).
Pertanto, il Ministero suggerisce di rendere noti i nominativi degli studenti distinti per classe tramite apposita comunicazione all’indirizzo email fornito dalla famiglia in fase di iscrizione, o – se possibile – tramite l’area documentale riservata del registro elettronico, a cui accedono tutti gli studenti della classe di riferimento.
In caso di comunicazione tramite email, per evitare violazioni privacy la stessa dovrà essere inoltrata a ciascun destinatario con un messaggio personalizzato, oppure inviata utilizzando il campo denominato “copia conoscenza nascosta” (CCN) al fine di non divulgare gli indirizzi email forniti dalle famiglie.
Inoltre, si raccomanda di predisporre uno specifico “disclaimer” con cui si evidenzia che i dati personali non possono essere oggetto di comunicazione o diffusione (ad esempio mediante la loro pubblicazione su blog o social network).
Viene altresì ribadito che, per prassi, è consentita la pubblicazione al tabellone esposto nella bacheca scolastica dei nominativi degli studenti distinti per classe.
In tutti i casi, aggiunge ancora il Ministero, “gli elenchi relativi alla composizione delle classi, resi disponibili con le modalità sopra indicate, devono contenere i soli nominativi degli alunni e non devono riportare informazioni relative allo stato di salute degli studenti o altri dati personali non pertinenti (es. luogo e data di nascita, ecc.). Sia in caso di pubblicazione nel registro elettronico sia nel caso di pubblicazione attraverso i tabelloni esposti nella bacheca scolastica, il dirigente scolastico definisce il tempo massimo di pubblicazione che comunque non deve eccedere 15 giorni”.
Senza sicurezza non c’è privacy e senza privacy non c’è sicurezza
Per implementare e aggiornare il proprio sistema privacy occorre adottare specifiche misure di sicurezza.
Il legislatore europeo, nel GDPR, afferma infatti che i dati devono essere “trattati in maniera da garantire un’adeguata sicurezza… compresa la protezione, mediante misure tecniche e organizzative adeguate”.
Sicurezza e privacy sono due temi correlati: senza sicurezza non può esserci privacy e senza privacy non può esserci sicurezza.
Nel mondo dell’istruzione vengono trattati nella maggior parte dei casi dati appartenenti a minori.
Spetta alla scuola il compito di proteggere questa categoria di utenti da qualsiasi tipo di minaccia, e scongiurare la perdita dei loro dati.
La sicurezza non è un tema che si può improvvisare: dev’essere programmata fin dal principio, “tenendo conto dello stato dell’arte e dei costi di attuazione”, in base alle proprie capacità e ai propri mezzi.
Ogni anno vanno analizzati il sistema informatico e la rete dell’istituto da parte dell’amministratore di sistema o del referente informatico.
Dev’essere adottato un sistema operativo sicuro, protetto da firewall, nonché misure volte ad attuare e implementare la politica di controllo degli accessi logici ai dati personali trattati attraverso sistemi informatici (ad es., politiche di accesso ad applicativi o a cartelle di rete condivise), secondo ruoli e responsabilità definite e profili personali attribuiti agli utenti.
Va poi limitato l’accesso a file, cartelle e applicazioni in modo restrittivo, in modo che l’accesso ai dati sia consentito solamente agli incaricati.
Inoltre è fondamentale l’educazione e la formazione di coloro i quali trattano informazioni, affinché adottino comportamenti virtuosi in fase di gestione delle stesse.
Oltre a ciò, la scuola deve dotarsi di policy specifiche, ossia di procedure che regolino l’agire dei dipendenti nell’ambito delle diverse attività di trattamento.
Ad esempio, una policy fondamentale può riguardare l’utilizzo delle attrezzature informatiche, definendo l’uso dei PC, la gestione delle password, l’utilizzo della rete e della posta elettronica.