Quando si parla di dati che riguardano i minori, la prudenza non è mai troppa.
Tanti sono i dubbi e le domande circa il rispetto della normativa sul trattamento delle informazioni personali di bambini e ragazzi.
Ad esempio, in riferimento ai più piccoli, quali sono le norme da seguire per un asilo nido a prova di privacy?
Avere informazioni precise è fondamentale, tanto per i titolari del trattamento, quanto per educatori, insegnanti, e per tutte le figure professionali che gravitano intorno a queste strutture.
Le risposte alle domande sul tema “privacy negli asili” sono ovviamente dentro (ma anche fuori) il GDPR.
Infatti, già prima dell’applicazione del Regolamento, con un provvedimento del 6 giugno 2013, il Garante della privacy era intervenuto in merito alla procedura utilizzata per stilare la graduatoria di ammissione agli asili nido comunali.
In quella circostanza, l’Autorità aveva rilevato che erano troppe le informazioni richieste per il procedimento.
Tali informazioni includevano, ad esempio, quelle sull’origine straniera dei genitori, oppure ancora i dati di natura sanitaria dei nonni dei minori (valutati dal Garante come ininfluenti ai fini della verifica della sussistenza dei criteri richiesti per l’iscrizione).
Con il citato provvedimento venivano dunque esclusi, per mancanza di pertinenza, tutti i dati personali ritenuti eccedenti rispetto alla finalità relativa alla predisposizione della graduatoria di ammissione per l’iscrizione all’asilo nido comunale.
Raccolta dei dati personali
Pertanto, come si può facilmente intuire dalla disamina di questo provvedimento, partendo dalla base che tutti i dati raccolti riguardano minori, l’attenzione alla predisposizione delle informative privacy deve essere scrupolosa, avendo soprattutto cura di distinguere il trattamento dei “dati comuni” da quello dei “dati particolari” (gli ex “dati sensibili”).
Nella prima categoria rientrano, di norma, quelli forniti dai genitori all’atto dell’iscrizione, indispensabili per poter accedere al servizio (come ad esempio i dati anagrafici).
Per questi non vi è la necessità di acquisire il consenso, in quanto il loro trattamento è finalizzato all’adempimento di obblighi di legge da parte del titolare (l’asilo nido), e inoltre sono strettamente connessi e indispensabili alla conclusione del contratto, o per beneficiare del servizio.
L’asilo, oltre ai dati personali del minore e dei genitori (nome, cognome, indirizzo, numero di telefono) potrebbe richiedere anche l’indicazione dei dati di altri soggetti adulti, nonché la fotocopia di un documento d’identità degli stessi, al fine di identificare coloro che possono prelevare il minore dal nido al posto dei genitori.
Discorso del tutto diverso riguarda la raccolta di quei dati che possono rivelare lo stato di salute del minore, ipotesi che riguarda soprattutto gli asili nido dotati di una mensa, o che includono attività pomeridiane dedicate all’esercizio fisico.
Si tratta dei già citati “dati particolari” (ex “dati sensibili”).
Allergie, intolleranze, ma anche l’appartenenza a confessioni religiose che vadano a incidere sull’alimentazione del minore, devono essere oggetto di uno specifico consenso, non essendovi per questi, da parte degli asili nido (a differenza che per le scuole primarie), un’altra valida base giuridica che legittimi il loro trattamento.
Particolarmente accurata, in tal caso, dovrà essere l’informativa privacy da fornire ai genitori, o a coloro che esercitano la responsabilità genitoriale.
Dunque, tutti gli asili nido devono assicurarsi che le famiglie comprendano bene le finalità del trattamento, e hanno l’obbligo di specificare in maniera chiara che, per nessun motivo, i dati saranno trattati per finalità diverse da quelle per le quali sono stati forniti.
Inoltre, laddove vengano effettuate fotografie e riprese video (e le stesse vengano pubblicate sul sito istituzionale o sul profilo social della scuola), è opportuno acquisire un preventivo consenso alla loro divulgazione.
In ogni caso, la gestione dell’immagine, soprattutto di un minore, è un tema molto delicato.
Per divulgare foto e filmati nel pieno rispetto della privacy, senza richiedere alcun consenso, è bene oscurare il volto del soggetto ripreso (mediante ad esempio pixel, sfocatura o bollini), in modo da non renderlo identificabile.
Tale linea prudenziale incontra anche i criteri espressi dal Garante sul tema.
Ne è un esempio il vademecum “La scuola a prova di privacy”, che vuole sensibilizzare sul tema del trattamento dei dati e dell’immagine del minore, alla luce della grande semplicità con la quale è oramai possibile “scaricare” la stessa dal web, e magari condividerla in siti “a rischio”.
In ogni caso, il Garante ha anche affermato che le riprese fotografiche e video acquisite dei genitori durante recite, gite e saggi scolastici non violano la privacy dei soggetti raffigurati, in quanto le immagini vengono raccolte dai genitori stessi per fini personali, e sono perciò destinate esclusivamente a un ambito familiare o amicale.
La sorveglianza negli asili nido
Un altro provvedimento del Garante della privacy che ha destato particolare attenzione è stato adottato l’8 maggio 2013, e ha vietato l’uso generalizzato di webcam negli asili nido.
Con esso, l’Autorità ha ribadito che la tutela della personalità e della riservatezza dei minori deve prevalere rispetto alle esigenze di genitori e strutture scolastiche.
Nel provvedimento, il Garante ha ricordato innanzitutto – anche in riferimento a quanto puntualizzato dalla Commissione europea – che l’impiego di sistemi di videosorveglianza deve risultare effettivamente necessario e proporzionato agli scopi che si intendono perseguire, tanto più quando si tratta di dispositivi particolarmente invasivi come le webcam.
A tal proposito, la Commissione europea ha precisato che “L’installazione di sistemi di videosorveglianza per la protezione e la sicurezza di bambini e studenti nei centri per l’infanzia, negli asili nido e nelle scuole può essere un interesse legittimo, purché siano rispettati i principi della protezione dei dati, come i principi di necessità e proporzionalità stabiliti a livello nazionale ed europeo, e fermo restando il monitoraggio delle competenti autorità di controllo nazionali della protezione dei dati”.
Nel caso in cui un asilo voglia installare sistemi di videosorveglianza, devono sempre essere bilanciati i valori fondamentali, quali la tutela della personalità dei minori, la libertà di scelta dei metodi educativi e d´insegnamento, e la tutela della riservatezza dei soggetti ripresi dai sistemi di controllo.
Inoltre l’Autorità ha dichiarato relativamente all’installazione di sistemi di controllo da parte degli asili, che i medesimi “…devono essere usati con estrema cautela perché, oltre a incidere sulla libertà di insegnamento, possono ingenerare nel minore, fin dai primi anni di vita, la percezione che sia “normale” essere continuamente sorvegliati, come pure condizionare la spontaneità del rapporto con gli insegnanti. La tranquillità dei genitori non può essere raggiunta a scapito del libero sviluppo dei figli. Non possiamo, per placare le nostre ansie di adulti, trasformare la società in cui viviamo in un mondo di ipersorvegliati, a partire dai nostri bambini”.
I punti fondamentali per un asilo a prova di privacy
Chiariti gli aspetti più problematici del trattamento delle informazioni personali, vediamo quali sono gli ulteriori punti indispensabili affinché un asilo nido possa ritenersi adeguato alla tutela dei dati dei minori.
In tal caso, la fattispecie non si discosta dagli obblighi previsti dal GDPR.
Pertanto, questi saranno i punti fondamentali:
- predisporre un’adeguata informativa per ciascun trattamento posto in essere;
- nominare per ciascun trattamento i soggetti incaricati, formalizzando la loro nomina mediante una lettera di incarico, e fornendo loro adeguata formazione;
- in caso di trattamenti che implichino la base giuridica del consenso (ad esempio, la condivisione di foto tra i genitori/tutori), accertarsi di aver previamente ottenuto un valido consenso al trattamento dei dati da parte dei genitori o del tutore del minore;
- predisporre il registro delle attività di trattamento.
Si suggerisce inoltre, se non lo si è ancora fatto, di procedere con la nomina del responsabile della protezione dei dati (DPO).