Questo articolo è stato pubblicato anche sulla testata specializzata “Agenda Digitale” in data 23 dicembre 2022: https://www.agendadigitale.eu/scuola-digitale/scuola-come-formare-il-personale-per-prevenire-le-violazioni-di-dati-personali


Uno dei pilastri del Regolamento Europeo 2016/679, e criterio guida per la corretta gestione della privacy, è senza dubbio il principio di “accountability.

Questa parola può essere tradotta in italiano con i termini “responsabilizzazione” e “comprovazione”, ed è riferita al titolare del trattamento dei dati, il quale deve operare nel pieno rispetto dei principi della normativa, decidendo autonomamente sulle modalità, le garanzie, e i limiti del trattamento. 

Tutti gli istituti scolastici, oltre a dover affrontare le questioni e le problematiche relative all’amministrazione e alla didattica, devono fare i conti con gestione della privacy dei loro utenti.

La gestione della privacy a scuola

Nel mondo della scuola vengono trattate molte informazioni personali (tra cui anche quelle relative alla salute), che nella maggior parte dei casi appartengono a soggetti vulnerabili come i minori.

Spetta a ciascun istituto il compito di proteggere queste categorie di utenti da qualsiasi minaccia, e scongiurare la perdita dei loro dati.

Ogni scuola deve valutare quali siano le attività più appropriate da svolgere nel corso del trattamento delle informazioni personali, documentarle, e dimostrarne la piena rispondenza ai principi che la legge impone, al fine di tutelare il diritto alla riservatezza degli interessati.

Ricordiamo infatti che ai sensi dell’art. 24 del Regolamento Europeo 2016/679, il titolare del trattamento “mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento”.

Pertanto tutte le informazioni devono essere gestite in sicurezza, e la sicurezza non è un tema che si può improvvisare.

Dev’essere programmata fin dal principio, tramite l’adozione di moderni sistemi in grado di proteggere le infrastrutture digitali della scuola da attacchi hacking e cracking.

Ma le nuove tecnologie, da sole, non sono sufficienti a garantire un’adeguata protezione.

L’importanza della formazione del personale scolastico

Il legislatore europeo afferma che: “chiunque agisca sotto… [l’] autorità …del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento” (artt. 29 e 32 del GDPR).

L’educazione e la formazione di coloro i quali trattano informazioni classificate, personali o riservate – affinché adottino comportamenti virtuosi in fase di gestione delle stesse – sono attività indispensabili e necessarie per garantire la sicurezza dei dati personali.

Solo in questo modo è possibile ridurre il rischio informatico e prevenire qualsiasi evento che possa determinare la perdita o l’alterazione delle informazioni.

Oltre a ciò, la scuola dovrebbe dotarsi di policy specifiche, ossia di procedure che regolino l’agire dei dipendenti nell’ambito delle diverse attività di trattamento.

Ad esempio, una policy fondamentale potrebbe riguardare l’utilizzo delle attrezzature informatiche, definendo come devono essere utilizzati i PC, la gestione delle password, e l’utilizzo della rete e della posta elettronica.

La formazione legata a una cultura digitale deve poi necessariamente comprendere un’educazione all’uso corretto della tecnologia.

Padroneggiare un determinato strumento informatico abbatte notevolmente il rischio di incorrere in problemi legati alla dispersione dei dati.

La privacy, tuttavia, non deve essere vista solamente come un adempimento burocratico.

Tutti coloro che si trovano a gestire dati personali, infatti, dovrebbero sviluppare una vera e propria cultura legata alla protezione delle informazioni, in modo da garantire il pieno rispetto dei diritti dei cittadini.

Lo sviluppo di questa cultura è ovviamente possibile solo grazie a un’adeguata formazione e sensibilizzazione.

Inoltre, la formazione è anche necessaria per prevenire ulteriori e gravi conseguenze, come le violazioni dei dati e le sanzioni del Garante della privacy.

Le violazioni della privacy causate da errore umano

Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità delle informazioni, e comportare la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. 

La maggior parte delle violazioni è causata da un errore umano, compiuto per semplice distrazione o per scarsa competenza.

A seguito dell’entrata in vigore del GDPR, le prime sanzioni del Garante hanno riguardato due licei della regione Campania, i quali avevano diffuso illecitamente informazioni non necessarie (e dati sulla salute) nelle graduatorie dei docenti pubblicate sui propri siti web istituzionali (Ordinanza ingiunzione nei confronti di Liceo Artistico Statale di Napoli – 6 febbraio 2020, e Ordinanza ingiunzione nei confronti di Liceo Nobel di Torre del Greco – 30 gennaio 2020).

L’Autorità, intervenuta a seguito dei reclami effettuati da due cittadini, aveva riscontrato violazioni nella pubblicazione di dati personali riguardanti circa 1500 insegnanti in un caso, e più di 2000 nell’altro.

Oltre ai dati identificativi, erano stati pubblicati in chiaro sul web, per alcuni anni, dati personali non necessari rispetto alle finalità perseguite con la pubblicazione delle graduatorie, come codici fiscali, indirizzi di residenza, recapiti telefonici, indirizzi email, numero di figli, codici di preferenza, nonché dati relativi alla salute e l’appartenenza alle categorie di “invalidi e mutilati civili”.

Il Garante, dopo aver dichiarato illecita la pubblicazione di tali dati (in quanto avvenuta in assenza di un presupposto normativo e in violazione dei principi di “liceità, correttezza e trasparenza”, di “minimizzazione dei dati”, nonché del divieto di diffusione di dati relativi alla salute) ha sanzionato gli istituti con un’ammenda di 4.000 euro.

Dipendenti attenti e informati non avrebbero di certo pubblicato sul sito della scuola informazioni non necessarie e eccedenti rispetto alle finalità perseguite.

Lo stesso Ministero dell’Istruzione, con circolare del 7 marzo 2008, aveva già in precedenza specificato in merito alle graduatorie che “non è consentita la pubblicazione, accanto ai dati strettamente necessari all’individuazione del candidato (nome, cognome, punteggio, e posizione in graduatoria) di ulteriori dati, come, ad esempio, domicilio, recapito telefonico, poiché la conoscenza da parte di terzi dei dati in parola non è strettamente necessaria per raggiungere le finalità istituzionali sottese alla pubblicazione della graduatoria, né esistono nell’ordinamento specifiche norme che consentano la pubblicazione di dati comuni diversi da quelli necessari”.

La circolare prevedeva altresì il divieto assoluto di diffusione al pubblico di categorie particolari di dati personali come lo stato di salute (stato di invalidità, patologie emergenti dalla documentazione ex legge 104/1992, ecc.).

Inoltre si affermava che non è ammessa “la possibilità di diffondere altri dati sensibili, la cui divulgazione, peraltro, sarebbe palesemente non indispensabile per le finalità del trattamento. Del pari non è consentita l’utilizzazione, nell’ambito di atti e documenti destinati alla diffusione, di sigle, codici o acronimi tali da rendere nota, anche indirettamente, l’esistenza di patologie riferite agli interessati”.

L’ordinanza ingiunzione nei confronti della Direzione Didattica Statale 1° Circolo di Eboli del 28 aprile 2022

Altro interessante intervento del Garante – che ci fa capire quanto una corretta formazione può prevenire il verificarsi di violazioni di dati personali – è l’ordinanza ingiunzione nei confronti della Direzione Didattica Statale 1° Circolo di Eboli del 28 aprile 2022.

Con questo provvedimento è stato contestato l’invio illecito, da parte dell’istituto scolastico, della convocazione del gruppo di lavoro operativo per l’inclusione (GLO), recante in chiaro l’indicazione dei nominativi di tutti gli alunni interessati (distinti per classe) a genitori, docenti e altro personale, senza distinguere i destinatari della comunicazione.

Ciò ha consentito a ogni persona che ha ricevuto il messaggio di venire a conoscenza della condizione di disabilità degli studenti interessati.

Inoltre la scuola, nell’inviare l’email di convocazione, ha messo in chiaro gli indirizzi di posta elettronica dei destinatari, e non li ha protetti utilizzando ad esempio la modalità CCN.

Ciò ha di fatto reso conoscibili i dati personali relativi agli indirizzi email dei familiari degli alunni anche da parte di soggetti terzi (altri genitori, docenti, personale specializzato, e altri soggetti coinvolti nell’intervento terapeutico dei minori destinatari del messaggio).

Relativamente a tale questione, davanti al Garante della privacy l’istituto si è difeso sostenendo che l’utilizzo dell’indirizzo email sarebbe stato autorizzato dalle singole persone.

In merito alla convocazione di gruppo, l’Autorità ha riconosciuto che, in base alla normativa di settore, la stessa può essere comunicata solo ai genitori dello studente interessato, ai docenti della classe di appartenenza di quest’ultimo, e ai soggetti coinvolti nell’intervento terapeutico e formativo dell’alunno.

In merito agli indirizzi di posta elettronica riportati nelle comunicazioni, il Garante ha affermato che: “non può essere ritenuto rilevante, ai fini della valutazione della complessiva condotta del titolare del trattamento, quanto rappresentato dalla Direzione Didattica, secondo la quale “l’istituzione scolastica è stata autorizzata dall’individuo stesso all’utilizzo (mediante consenso)”. Ciò in quanto il consenso non costituisce, di regola, un valido presupposto di liceità per il trattamento dei dati personali in ambito pubblico, in ragione dello squilibrio della posizione degli interessati rispetto al titolare del trattamento (cfr. considerando n. 43 del Regolamento)”.

L’Autorità ha poi ritenuto che i genitori abbiano fornito alla scuola le proprie email non per la divulgazione a terzi, ma esclusivamente per lo scambio diretto di comunicazioni ai fini della convocazione alle riunioni del GLO nei termini previsti dalla normativa di settore.

In un caso come questo, un’appropriata formazione in materia di privacy avrebbe potuto essere utile al personale scolastico per comprendere i concetti di base giuridica del trattamento dei dati e comunicare correttamente con le famiglie.

L’Ordinanza ingiunzione nei confronti del Liceo Statale “E. Amaldi” di Alzano Lombardo del 1 settembre 2022

Da ultimo si segnala l’ordinanza ingiunzione nei confronti del Liceo Statale “E. Amaldi” di Alzano Lombardo del 1 settembre 2022.

Con reclamo presentato al Garante, è stata lamentata la pubblicazione sul sito web istituzionale della scuola e sul registro elettronico di una circolare riguardante le ferie estive dei collaboratori scolastici, recante in allegato un prospetto del piano ferie, il quale riportava – in corrispondenza del nominativo proprio e di altro personale – il riferimento alla fruizione dei benefici derivanti dalla legge 5 febbraio 1992, n. 104 e, in particolare, l’indicazione “104”.

La scuola ha riconosciuto come tale pubblicazione sia avvenuta per un errore materiale da parte del personale di segreteria.

Preliminarmente, il Garante aveva evidenziato che, ai sensi dell’art. 4 par.1, n. 15 del Regolamento, sono considerati dati relativi alla salute “i dati personali attinenti alla salute fisica e mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni sul suo stato di salute”, e che pertanto “il riferimento alla legge 104, che notoriamente disciplina benefici e garanzie per l’assistenza, l’integrazione sociale e lavorativa di persone disabili o di loro familiari, consente di ricavare informazioni sullo stato di salute di una persona”.

Inoltre, l’Autorità aveva chiarito che i dati personali dei dipendenti non possono essere messi a conoscenza di soggetti diversi da coloro che sono parte del rapporto di lavoro, e che non siano legittimati – in ragione delle scelte organizzative del titolare del trattamento e delle specifiche mansioni svolte – a trattare tali dati in qualità di personale autorizzato.

Relativamente alla condivisione del piano attraverso il registro elettronico, è stato evidenziato che “sebbene la condivisione sia avvenuta in un’area ad accesso riservato del registro elettronico dell’Istituto – non accessibile a chiunque, e tale da non determinare una diffusione di dati personali – la conoscibilità dei dati ivi contenuti è avvenuta comunque in favore di un novero, determinato o determinabile, assai ampio di soggetti, ossia tutti i colleghi della reclamante appartenenti al personale docente e non, invece, esclusivamente a vantaggio del solo personale di segreteria autorizzato all’accesso e al trattamento di tali dati personali”.

Per tali ragioni l’istituto ha reso, in modo ingiustificato, tutti i dipendenti a conoscenza dei periodi e delle causali di assenza degli altri colleghi, comprensivi anche di informazioni su vicende personali e relative alla salute di taluni lavoratori e/o di loro familiari, e perciò ha posto in essere una violazione di dati personali.