News

RACCOLTA ARTICOLI PRINCIPALI QUOTIDIANI

GDPR e Scuole - Nota MIUR 22.05.2018, prot. n. 563

Diverse scuole ci hanno contattato negli ultimi mesi per capire meglio il significato di Privacy nelle scuole e relativo GDPR [Regolamento Generale sulla Protezione dei Dati (UE/2016/679)].

Partiamo da un concetto base: la PRIVACY

COSA INTENDIAMO PER DATI PERSONALI?

Tutte quelle informazioni che identificano/rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc..

Particolarmente importanti sono:

  • i dati che permettono l'identificazione diretta - come i DATI ANAGRAFICI (es. nome e cognome), le immagini, ecc. - e i dati che permettono l'identificazione indiretta, come un numero di identificazione (es. il codice fiscale, l'indirizzo IP, il numero di targa);
  • i dati rientranti in particolari categorie: si tratta dei dati c.d. "SENSIBILI", cioè quelli che rivelano l'origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l'appartenenza sindacale, relativi alla salute, alla vita o all'orientamento sessuale. Il Regolamento (UE) 2016/679 (articolo 9) ha incluso nella nozione anche i dati genetici e i dati biometrici;
  • i dati relativi a condanne penali e reati: si tratta dei dati c.d. "GIUDIZIARI", cioè quelli che possono rivelare l'esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato. Il Regolamento (UE) 2016/679 (articolo 10) ricomprende in tale nozione i dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza.

Con l'evoluzione delle nuove tecnologie, altri dati personali hanno assunto un ruolo significativo, come quelli relativi alle comunicazioni elettroniche (via Internet o telefono) e quelli che consentono la geolocalizzazione.

I RUOLI:

  • Interessato è la persona fisica al quale si riferiscono i dati personali. Quindi, se un trattamento riguarda, ad esempio, l'indirizzo, il codice fiscale, ecc. di Mario Rossi, questa persona è l"interessato" (articolo 4, paragrafo 1, punto 1), del Regolamento UE 2016/679);
  • Titolare è la persona fisica, l'autorità pubblica, l'impresa, l'ente pubblico o privato, l'associazione, ecc., che adotta le decisioni sugli scopi e sulle modalità del trattamento (articolo 4, paragrafo 1, punto 7), del Regolamento UE 2016/679);
  • Responsabile è la persona fisica o giuridica al quale il titolare affida, anche all'esterno della sua struttura organizzativa, specifici e definiti compiti di gestione e controllo per suo conto del trattamento dei dati (articolo 4, paragrafo 1, punto 8), del Regolamento UE 2016/679). Il Regolamento medesimo ha introdotto la possibilità che un responsabile possa, a sua volta e secondo determinate condizioni, designare un altro soggetto c.d. "sub-responsabile" (articolo 28, paragrafo 2).

A partire dal 28 maggio 2018 il GDPR sarà attivo anche per le scuole italiane e scuole (pubbliche/private), data la mole di dati che dovrà essere messa in sicurezza (soprattutto riferiti a minori), saranno sicuramente uno degli enti maggiormente nell’occhio del ciclone.
A questo punto è importante capire che:

  • Il GDPR non è una direttiva, è un Regolamento. [non richiede una legge nazionale di recepimento, è immediatamente esecutivo].
  • Il GDPR è stato approvato due anni fa (24 maggio 2016). [non richiede ulteriori approvazioni].
  • Il GDPR prevede, con un proprio articolo, che la piena applicabilità delle nuove norme decorra dal 25 maggio 2018. [non ci saranno rinvii].

Il MIUR ha rilasciato una Nota dal titolo: Responsabile della protezione dei dati personali - Prime indicazioni per le Istituzioni scolastiche (Prot. n. 563 del 22 maggio 2018).

Il Regolamento europeo in materia di protezione dei dati personali (c.d. GDPR) attribuisce ai soggetti pubblici una significativa discrezionalità nella individuazione delle modalità organizzative di adeguamento alle novità in esso previste.
Al fine di consentire l'avvio di un percorso di attuazione del suddetto Regolamento, in attesa dell'emanazione del decreto legislativo nazionale di dettaglio, si ritiene opportuno, in accordo con il Dipartimento per il sistema educativo di istruzione e formazione, fornire indicazioni alle scuole, anche in considerazione delle necessità e delle criticità rappresentate dalle organizzazioni sindacali in occasione dell'incontro tenutosi presso questo Dipartimento in data 18 maggio u.s.
Come noto, ciascun istituto scolastico, in virtù della propria autonomia, deve dotarsi in via prioritaria del Responsabile della protezione dati personali. Tale figura, interna o esterna, deve essere connotata dai requisiti di autonomia e indipendenza, operare senza conflitto di interessi e possedere specifiche competenze in materia di trattamento dei dati personali.
Tenendo conto della previsione dell'articolo 37, comma 3 del Regolamento riguardo alla nomina di un unico Responsabile della protezione dei dati per più autorità pubbliche, è consentito a più scuole di avvalersi di un unico Responsabile.
Pertanto, gli Uffici Scolastici Regionali dovranno svolgere in questo ambito un fondamentale ruolo di interlocuzione e di coordinamento nei confronti delle istituzioni scolastiche per promuovere soluzioni condivise.
L'atto di designazione di un unico Responsabile della protezione dei dati personali potrà, ad esempio, avvenire attraverso la decisione congiunta di scuole già costituite in reti di scopo poste in essere per l'attuazione di procedure amministrative di interesse comune.
Al medesimo risultato, si potrà pervenire favorendo la conclusione di accordi volti a disciplinare lo svolgimento in collaborazione di attività di interesse comune per l'individuazione di un unico Responsabile della protezione dei dati personali, attraverso il coinvolgimento contestuale degli istituti scolastici dislocati nello stesso ambito regionale, provinciale o subprovinciale, a seconda delle peculiarità territoriali, soddisfacendo, comunque, il requisito della cosiddetta "raggiungibilità" del Responsabile per la protezione dei dati proprio per assicurare un efficace supporto al Titolare del trattamento.
Inoltre, come importante misura di accompagnamento al percorso di adeguamento, per assicurare una formazione adeguata e capillare sui temi e le nuove problematiche che concernono il trattamento dei dati personali alla luce del suddetto Regolamento, il MIUR provvederà a rendere accessibile entro la prossima settimana a tutto il personale scolastico il corso di formazione on line, della durata di nove ore, in questi giorni fruito dal personale del Ministero.
Nelle prossime settimane verrà, poi, definita l'organizzazione di un sistema di formazione a rete, così come configurato e realizzato per il Piano Nazionale Scuola Digitale, prevedendo degli incontri formativi interregionali indirizzati in via prioritaria ai dirigenti scolastici e ai direttori dei servizi generali ed amministrativi (DSGA).
Infine, per supportare ulteriormente le istituzioni scolastiche, al fine di assicurare la creazione di un corretto sistema di protezione dei dati personali, sarà trasmesso nelle prossime settimane un modello standard di Registro delle attività di trattamento dei dati personali come previsto dall'articolo 30 del succitato Regolamento.

 


ALCUNI CONSIGLI PER LE SCUOLE:

Garante della Privacy: Scuole: sì alla trasparenza, ma senza violare la privacy
Graduatorie on line e moduli di iscrizione solo con dati pertinenti. No alla pubblicazione sul web dei nomi degli studenti le cui famiglie sono in ritardo nel pagamento della retta per la mensa. Vietato diffondere telefono e indirizzo di personale scolastico e studenti. Il Garante per la privacy ricorda alle scuole di ogni ordine e grado la necessità di tenere presente alcuni principi stabiliti nei provvedimenti adottati in questi anni in materia di trasparenza in ambito scolastico, a tutela dei dati degli studenti e dei lavoratori che operano nel mondo dell´istruzione. Numerosi sono, infatti, i casi in cui istituti e pubbliche amministrazioni, per un´errata interpretazione della normativa sulla trasparenza o per semplice disattenzione, rendono accessibili informazioni che dovrebbero restare riservate, mettendo in questo modo a rischio la riservatezza e la dignità delle persone. [continua a leggere]