Questo articolo è stato pubblicato anche sulla testata specializzata “Agenda Digitale” in data 15 settembre 2023: https://www.agendadigitale.eu/scuola-digitale/privacy-a-scuola-i-consigli-per-lavvio-in-sicurezza-dellanno-scolastico
Il nuovo anno scolastico è appena iniziato, e gli istituti devono ricordarsi da un lato di verificare che la documentazione privacy sia corretta e aggiornata, e dall’altro di svolgere una serie di operazioni relative al personale e agli alunni, senza dimenticarsi delle nuove prescrizioni introdotte dalla recente riforma del Codice di comportamento dei dipendenti pubblici.
Il nuovo anno scolastico e la documentazione privacy necessaria
Come detto, per prima cosa le scuole devono controllare, ed eventualmente aggiornare, tutti i documenti relativi alla privacy, ossia:
- Organigramma privacy
- Lettere di incarico con relative istruzioni al trattamento dei dati
- Nomine dei responsabili del trattamento
- Informative privacy
- Policy
- Registro delle attività di trattamento
Il personale neoassunto
Compito della scuola è quello di far conoscere agli “interessati” (studenti, famiglie, amministrativi, insegnanti, collaboratori esterni) come vengono trattati i loro dati.
Ciò avviene tramite la consegna o l’invio di una specifica informativa privacy, la quale va messa a disposizione anche dei neoassunti.
I nuovi docenti e il personale ATA devono altresì ricevere una lettera di autorizzazione al trattamento, che contenga istruzioni su come vanno gestiti i dati personali.
L’articolo 29 del GDPR afferma infatti che: “…chiunque compia trattamenti sotto l’autorità del titolare o del responsabile deve essere istruito in tal senso da questi ultimi”.
Tutto il personale scolastico tratta dati durante lo svolgimento del proprio incarico, e per questo è tenuto a conoscere ciò che deve fare e come farlo.
La formazione – anche attraverso procedure scritte – di coloro che trattano le informazioni, affinché adottino comportamenti virtuosi in fase di gestione delle stesse, è indispensabile e necessaria per la sicurezza dei dati, come recentemente ricordato anche dal Garante nel vademecum “La scuola a prova di privacy”.
Secondo l’Autorità infatti, ogni istituto, nel trattare i dati attraverso il personale preposto, “…deve adottare misure tecniche e organizzative per prevenire la conoscibilità ingiustificata di dati personali dei propri dipendenti da parte di soggetti terzi (famiglie, studenti, OO.SS., altri soggetti), al fine di evitare la comunicazione illecita di informazioni personali (ad es., riguardanti informazioni particolarmente delicate come lo stato di salute del lavoratore o l’assunzione di provvedimenti di carattere disciplinare o valutativo)”, ed inoltre “deve anche evitare la circolazione nell’ambiente di lavoro di dati personali riferiti ai docenti o al personale amministrativo in favore di altri dipendenti che non siano specificamente autorizzati”.
Le credenziali di accesso per il nuovo personale
Al personale neoassunto vanno consegnate le credenziali di accesso alle piattaforme utilizzate dalla scuola per la didattica o la gestione delle attività amministrative.
Ogni piattaforma deve essere dotata di un sistema di autenticazione (user e password) privato.
Inoltre, il nuovo personale va informato e formato sulle modalità d’uso delle credenziali stesse e della strumentazione informatica.
Infine, gli istituti devono ricordarsi di eliminare immediatamente le credenziali relative al personale non più in servizio.
I nuovi articoli 11-bis e 11-ter del Codice di comportamento dei dipendenti pubblici
Occorre richiamare l’attenzione sulla recente riforma del Codice di comportamento dei dipendenti pubblici, per via delle implicazioni sulla protezione dei dati personali che hanno le nuove disposizioni.
Il DPR n. 81/2023, entrato in vigore lo scorso 14 luglio, ha apportato importanti modifiche al Codice, improntate a promuovere un’etica del lavoro più responsabile, in relazione al corretto utilizzo delle tecnologie informatiche e dei mezzi di informazione e social media da parte dei dipendenti pubblici.
L’intervento è stato reso necessario dall’articolo 4 del D.L. n. 36/2022, convertito in L. n. 79/2022, che ha disciplinato l’introduzione di tali misure all’interno del Codice di comportamento dei dipendenti pubblici.
Gli articoli 11-bis e 11-ter del Codice introducono maggiori regolamentazioni sull’utilizzo delle tecnologie informatiche, dei social media e dei dispositivi elettronici personali.
In particolare, l’art. 11-bis, dedicato all’utilizzo delle tecnologie informatiche, stabilisce che l’amministrazione, attraverso i propri responsabili di struttura, ha facoltà di svolgere gli accertamenti necessari e adottare ogni misura atta a garantire la sicurezza e la protezione dei sistemi informatici, delle informazioni e dei dati, con modalità da stabilire mediante linee guida adottate dall’Agenzia per l’Italia Digitale, sentito il Garante per la protezione dei dati personali.
Nel seguente comma viene stabilito che i dipendenti pubblici possono utilizzare gli account istituzionali solo per finalità connesse all’attività lavorativa, limitando l’utilizzo di account personali per tali fini ai soli casi di “forza maggiore”, tali da impedire al dipendente di accedere all’account istituzionale.
Al terzo comma si stabilisce che il singolo dipendente è responsabile del contenuto dei messaggi inviati, i quali devono consentire l’identificazione del mittente, indicando un recapito istituzionale presso il quale egli sia reperibile.
Inoltre, al quarto comma dell’articolo, viene introdotta la possibilità per il dipendente di utilizzare gli strumenti informatici forniti dalla PA per l’assolvimento di incombenze personali, purché ciò avvenga “in tempi ristretti e senza alcun pregiudizio per i compiti istituzionali”.
L’articolo si chiude con l’enunciazione del divieto di inviare email (sia all’interno che all’esterno dell’amministrazione) dal contenuto oltraggioso, discriminatorio, o tale da essere in qualunque modo fonte di responsabilità dell’amministrazione.
L’articolo 11-ter è invece dedicato all’utilizzo dei mezzi di informazione e dei social media, e impone delle regole di condotta per i dipendenti pubblici nell’uso dei propri canali.
Innanzitutto, si legge che il dipendente deve utilizzare “ogni cautela affinché le proprie opinioni o i propri giudizi su eventi, cose o persone, non siano in alcun modo attribuibili direttamente alla pubblica amministrazione di appartenenza” e in ogni caso è tenuto ad “astenersi da qualsiasi intervento o commento che possa nuocere al prestigio, al decoro o all’immagine dell’amministrazione di appartenenza o della pubblica amministrazione in generale” (Art. 11-ter, co. 1 e 2).
Pertanto, tutto il personale scolastico dovrà porre la massima attenzione in merito al proprio profilo social e a tutto ciò che pubblica e commenta, in qualsiasi contesto.
Gli account non dovranno poi essere utilizzati per le comunicazioni, a meno che non rispondano a un’esigenza di carattere istituzionale (Art. 11-ter, co. 3).
Infine, le amministrazioni possono dotarsi di una loro social media policy, al fine di adeguare alle proprie specificità le novità introdotte dall’art. 11-ter del Codice di comportamento dei dipendenti pubblici (Art. 11-ter, co. 4).
Per completezza, si segnala che ai sensi dell’ultimo comma dell’art. 11-ter, i dipendenti non possono divulgare o diffondere – per ragioni estranee al loro rapporto di lavoro con l’amministrazione, e in difformità alle disposizioni di cui al decreto legislativo 13 marzo 2013, n. 33, e alla legge 7 agosto 1990, n. 241 – documenti, anche istruttori, e informazioni di cui essi abbiano la disponibilità.
L’orario e le comunicazioni di inizio anno
All’inizio dell’anno scolastico ogni istituto deve prestare attenzione nel predisporre l’orario delle lezioni.
Non vanno infatti rese note informazioni relative alle specifiche causali di assenza dal servizio, anche attraverso acronimi o sigle (come ad esempio il riferimento 104, che si riferisce alla fruizione dei benefici derivanti dalla legge 5 febbraio 1992, n. 104, in quanto da ciò è possibile evincere categorie particolari di dati personali), poiché questo determinerebbe un trattamento illecito di dati.
Inoltre, a inizio anno spesso vengono diffuse comunicazioni per informare le famiglie sull’attività e sugli avvenimenti della vita scolastica.
Questo diritto di informazione va sempre bilanciato con l’esigenza di tutelare la personalità dei minori.
Le scuole devono quindi evitare di inserire dati personali che rendano identificabili minori o altri soggetti (ad esempio, come ricorda il Garante, alunni coinvolti in casi di bullismo o destinatari di provvedimenti disciplinari o interessati in altre vicende particolarmente delicate) in circolari e comunicazioni di carattere generale.
Gli alunni che usufruiscono del servizio mensa e/o dello scuolabus
Anche gli avvisi online relativi al servizio mensa devono avere carattere generale, mentre quando vi è la necessità di comunicare con le singole persone va inoltrata a ognuno una comunicazione personale.
In merito al servizio scuolabus, il Garante ha ribadito che gli istituti scolastici e gli enti locali “non possono pubblicare online (sito della scuola, profilo social, ecc.), in forma accessibile a chiunque, gli elenchi dei bambini che usufruiscono dei servizi di scuolabus, indicando tra l’altro le rispettive fermate di salita-discesa o altre informazioni sul servizio” (si veda vademecum “La scuola a prova di privacy” ed. 2023).
Una diffusione illecita di dati personali potrebbe infatti rendere i minori facile preda di eventuali malintenzionati.
Gli elenchi degli alunni suddivisi per classi
Gli elenchi degli alunni suddivisi per classi non vanno pubblicati sul sito web della scuola.
In più occasioni, e da ultimo nel recente aggiornamento del vademecum “La scuola a prova di privacy”, il Garante ha ribadito che la pubblicazione online dei nominativi degli studenti distinti per sezioni sul portale istituzionale determina una diffusione illecita di informazioni da parte della scuola in assenza di una norma di legge o di un regolamento che ammetta tale operazione.
I nominativi degli studenti distinti per classe possono essere resi noti per le classi prime delle scuole di ogni ordine e grado, tramite apposita comunicazione all’indirizzo email fornito dalla famiglia in fase di iscrizione, mentre per le classi successive l’elenco degli alunni può essere reso disponibile nell’area del registro elettronico a cui accedono tutti gli studenti della classe di riferimento.
La pubblicazione sul tabellone esposto nella bacheca scolastica dei nominativi degli studenti distinti per classe è ammessa solo qualora l’istituto sia sprovvisto di registro elettronico, o sia impossibilitato a utilizzare strumenti di comunicazione telematica dei dati.
In ogni caso, gli elenchi delle classi devono contenere solamente i nominativi degli alunni, e non devono riportare informazioni relative allo stato di salute degli studenti o altri dati personali non pertinenti (ad esempio, luogo e data di nascita, ecc.).
La pubblicazione delle graduatorie
Gli istituti scolastici possono pubblicare sui propri siti internet – in base a quanto previsto dalle specifiche disposizioni di settore e nei tempi ivi stabiliti – le graduatorie di docenti e personale amministrativo tecnico e ausiliario (ATA), che tra le altre cose vengono consultate a inizio anno per eventuali assunzioni per nominare il personale supplente.
Il Ministero dell’Istruzione, con circolare del 7 marzo 2008, aveva specificato che ”non è consentita la pubblicazione, accanto ai dati strettamente necessari all’individuazione del candidato (nome, cognome, punteggio, e posizione in graduatoria) di ulteriori dati, come, ad esempio, domicilio, recapito telefonico, poiché la conoscenza da parti di terzi dei dati in parola non è strettamente necessaria per raggiungere le finalità istituzionali sottese alla pubblicazione della graduatoria, né esistono nell’ordinamento specifiche norme che consentano la pubblicazione di dati comuni diversi da quelli necessari”.
La stessa circolare ricordava, relativamente alla diffusione al pubblico di categorie particolari di dati personali come lo stato di salute (ad esempio, stato di invalidità, patologie emergenti dalla documentazione ex legge 104/1992, ecc.) che la medesima è espressamente vietata.
Inoltre, si affermava che non è ammessa “la possibilità di diffondere altri dati sensibili, la cui divulgazione, peraltro, sarebbe palesemente non indispensabile per le finalità del trattamento. Del pari non è consentita l’utilizzazione, nell’ambito di atti e documenti destinati alla diffusione, di sigle, codici o acronimi tali da rendere nota, anche indirettamente, l’esistenza di patologie riferite agli interessati”.
Tali liste devono quindi contenere solo i dati strettamente necessari all’individuazione del candidato, che sono il nome, il cognome, il punteggio e la posizione in graduatoria.
Non vanno assolutamente inseriti dati non pertinenti, quali, ad esempio, i numeri di telefono e gli indirizzi privati dei candidati.
La diffusione dei contatti personali, come ricorda il Garante, incrementa infatti “…il rischio di decontestualizzazione e di perdita di controllo sui dati e potrebbe, in taluni casi, esporre i lavoratori interessati a forme di stalking o a eventuali furti di identità” (si veda vademecum “La scuola a prova di privacy” ed. 2023).
I dati di contatto del responsabile della protezione dei dati
Per concludere, le scuole sono tenute a pubblicare sul proprio sito web istituzionale i dati di contatto del responsabile della protezione dei dati (RPD) all’interno di una sezione facilmente riconoscibile dall’utente e accessibile già dalla homepage.
Il Garante ha infatti affermato che: “il mancato aggiornamento dei dati di contatto del RPD, tanto sul sito web dell’ente quanto nella relativa comunicazione all’Autorità, costituisce una condotta sanzionabile al pari della mancata pubblicazione/comunicazione” (si veda provvedimento n. 174 del 12 maggio 2022).