Privacy nelle scuole: le novità post GDPR
Le scuole, pubbliche o private che siano, svolgono una funzione essenziale per la crescita ed il progresso del nostro Paese in quanto realizzano direttamente la libertà di arte e di scienza, uno dei diritti fondamentali previsti dalla nostra Costituzione (art. 33 Cost e 34 Cost.). Senza un sistema scolastico efficiente, infatti, sarebbe impossibile realizzare il progresso tecnologico, sociale e morale di una società.
Il diritto alla protezione dei dati personali è di più recente elaborazione rispetto al diritto a ricevere un’adeguata istruzione, ma è evidente come i due diritti debbano essere coordinati e integrati.
Ne consegue che le istituzioni scolastiche si sono dovute confrontare con l’entrata in vigore del Regolamento UE 679/2016 (cosiddetto GDPR) e del successivo D.lgs. 10 agosto 2018, n. 101 che ha modificato il D.lgs. 196/2003 (cosiddetto Codice Privacy).
Gli istituiti scolastici pubblici, potendo contare su una imponente struttura burocratica già piuttosto incline a recepire i formalismi (ma anche la sostanza) della normativa, sono stati avvantaggiati dalla nomina del DPO (Responsabile della protezione dei dati, Art. 37 GDPR).
La nomina del DPO per questi enti è, infatti, obbligatoria per legge, ma il rispetto dell’obbligo normativo ha portato in molte realtà significativi benefici pratici in termini di efficientamento e miglioramento delle prassi: obiettivo che può essere realizzato individuando un DPO esperto e competente.
Il GDPR ha impattato anche gli istituti scolastici privati i quali, al pari degli istituti pubblici, garantiscono la libertà di arte e di scienza e svolgono, conseguentemente, una funzione di pubblica rilevanza.
L’approccio al GDPR per le scuole paritarie è stato tuttavia diverso rispetto a quello “imposto” agli istituti pubblici. Questi enti hanno dovuto ripensare gli approcci metodologici ai trattamenti realizzati, adeguando alla legge i molteplici e diversi trattamenti realizzati dai propri uffici, sensibilizzare e formare il corpo docente e amministrativo.
L’adeguamento meramente formale e documentale alla nuova normativa non è stato (o almeno non avrebbe dovuto essere) la priorità per queste categorie di titolari.
In ogni caso, tutti gli enti scolastici (pubblici o privati) sono stati chiamati a confrontarsi con il Regolamento Europeo.
Tuttavia, il recepimento dei precetti normativi e la conversione di quanto imposto in prassi e procedure concrete sono risultati spesso difficili per la complessità delle disposizioni, per la complessità della normativa e per il ruolo, certamente non facile, svolto in ambito formativo dai vari istituti.
Il primo terreno di confronto è stato il superamento del concetto di “misure minime” a favore dell’approccio di accountability dell’istituto scolastico che presuppone un nuovo approccio consapevole e responsabile alla protezione dei dati personali che non si realizza attraverso un mero adempimento cartolare.
Per l’effetto, ogni complesso scolastico dovrà, in primo luogo e necessariamente, svolgere un’attenta riflessione sulle attività concretamente svolte e ripensare all’approccio sinora utilizzato in tema di protezione dei dati.
Diventa, quindi, imprescindibile ripensare alle modalità attraverso le quali il dato personale (dalla raccolta fino alla cancellazione attraverso tutte le fasi del trattamento realizzato) viene trattato.
Questa attività non può, dunque, prescindere da un’accurata analisi dei metodi di trattamento di dati operati (avuto riguardo alle diverse categorie di interessati) e dei processi oltre che dei sistemi informatici adottati.
Il GDPR chiede, infatti, di responsabilizzare chi tratta i dati personali (anche con semplici circolari e attività formative mirate) e individuare i referenti interni per la gestione delle procedure oltre che, ça va sans dire, aver riguardo dei flussi di dati personali.
La gestione di suddette attività, lungi dal rappresentare un appesantimento burocratico inutile, può rappresentare una vera svolta nel senso dell’efficientamento dei processi idonei a garantire, al tempo stesso, un’auspicata semplificazione e tutela dei diritti che passa, anche, attraverso un’opera di documentazione degli adempimenti e delle misure di sicurezza e organizzative realizzate.
L’organigramma privacy degli istituti scolastici
Il primo step che ogni istituto scolastico deve realizzare riguarda l’individuazione delle responsabilità e, in questo senso, assume imprescindibile rilevanza l’organigramma che, nel caso degli istituti scolastici, sarà sicuramente più complesso che per altre categorie di titolari.
In primo luogo, si tratterà di distinguere i soggetti che trattano dati personali da coloro i quali non sono autorizzati ad accedere ai dati e, nell’ambito dei soggetti autorizzati a trattare i dati, individuare i referenti preposti alla gestione delle diverse procedure. In quest’ottica, sembra consigliabile operare piani di formazione differenziati a seconda della responsabilità aziendale che riveste il soggetto autorizzato e dei trattamenti che questi effettua sotto l’autorità del titolare[1].
In secondo luogo, è consigliabile che i soggetti scolastici integrino procedure per la gestione efficiente dei registri e, in questo senso, è opportuno che si dotino di quattro modelli di registri, fra cui il registro delle attività di trattamento, il registro per la gestione delle violazioni, il registro della formazione e, da ultimo, il registro della strumentazione[2].
Da ultimo, l’organigramma scolastico dovrà indicare un soggetto che gli istituti scolastici avranno l’obbligo di nominare, ossia il Data Protection Officer.
Privacy nelle scuole: il ruolo del DPO
In questo senso, è bene evidenziare sin da subito come questo particolare soggetto, dotato di particolari responsabilità e compiti in materia di protezione dati, non debba mai essere confuso con il DPO la cui nomina risponde a logiche diverse non di organizzazione, ma di protezione degli interessati[3].
Una delle novità del Regolamento Ue 679/2016 è, infatti, l’introduzione di una nuova figura detta DPO (Data Protection Officer), se si vuole mantenere la traduzione inglese oppure RPD (Responsabile della Protezione dei Dati) se si preferisce la traduzione italiana, purtuttavia da molti ritenuta di infelice formulazione posto che il DPO non è responsabile direttamente delle violazioni del GDPR ma è legato al titolare che lo ha nominato da una responsabilità di tipo contrattuale.
In particolare, l’art. 37 (par. 1, lett. a) del Regolamento Europeo prevede che: “il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali”.
Se, da un lato, tutte le scuole pubbliche hanno l’obbligo di provvedere alla nomina del DPO, è erroneo ritenere che una scuola privata, solo perché un soggetto non formalmente pubblico, sia sottratta a questo obbligo normativo. Le scuole, infatti, quand’anche private sono ricomprese all’interno della categoria degli organismi di diritto pubblico[4].
Al riguardo, giova in ogni caso ricordare come il WP29 in una delle Opinion ha ritenuto che sia preferibile che anche i soggetti privati nomino un DPO alla luce delle specificità dei dati trattati, dei soggetti interessati (per lo più minori) e dei rischi connessi con le attività di trattamento.
In ogni caso, pertanto, la nomina del DPO da parte di un istituto scolastico riveste una notevole e imprescindibile rilevanza strategica considerando la tipologia, il volume, la qualità dei dati trattati e la tipologia dei trattamenti realizzati che, il più delle volte, incidono su soggetti particolarmente vulnerabili come i soggetti minorenni.
Da ultimo, l’istituto potrà discrezionalmente valutare se nominare un DPO interno ai propri uffici oppure se individuare un soggetto esterno sulla base di un contratto di servizi sulla base delle indicazioni dell’ex WP29; ma in ogni caso, è imprescindibile che il DPO sia dotato di competenze adeguate, non sia in conflitto di interessi con il titolare e sia dotato dei mezzi per adempiere adeguatamente ai propri compiti.
I responsabili di trattamento: quali nomine e perché
IL GDPR ha, inoltre, riformulato la nozione di responsabile di trattamento, posto che gli stessi secondo quanto previsto dall’art. 28 del GDPR, sono figure esterne all’organizzazione del titolare e per conto del quale trattano i dati e perseguono le finalità definite dallo stesso.
Occorrerà, dunque, valutare caso per caso se ed in che modo ai soggetti che trattano dati per conto del titolare siano o meno responsabili previo un processo di mappatura dei flussi di dati personali. A titolo meramente esemplificativo tra i responsabili esterni potrebbero essere inseriti, fatte le opportune valutazioni, le software house dei gestionali in uso (ad esempio, il registro elettronico), gli amministratori di sistema, i tecnici informatici, le società che forniscono i servizi di ristorazione all’interno dell’istituto.
Appurato che il principio di substance over form richiesto dal GDPR rende inefficaci le mere lettere di incarico, sarà necessario integrare gli accordi con i fornitori con clausole contrattuali che assicurino adeguate livelli di tutela degli interessati le quali possono anche trovare disciplina in un allegato (il data protection agreement) al contratto stipulato con il fornitore.
Soggetti autorizzati: insegnanti, assistenti scolastici, amministrazione
Gli incaricati o autorizzati sono i soggetti, sottoposti all’autorità del titolare o del responsabile, che materialmente svolgono le attività di trattamento e che possono essere, a titolo meramente esemplificativo: gli insegnanti, gli impiegati amministrativi e gli assistenti scolastici.
L’art. 29 del Regolamento UE 679/2016 non prevede espressamente una nomina di queste figure; tuttavia, viene espressamente richiesto che vengano fornite delle istruzioni operative che, secondo il novellato codice privacy, possono anche essere operate in totale libertà di forme. In questo senso, la politica delle misure di sicurezza potrebbe essere implementata anche con circolari aziendali, diffusione della security policy all’interno dell’intranet o in luoghi pubblici come le bacheche scolastiche.
Risulta, infatti, necessaria l’indicazione sia delle misure di sicurezza sia che venga fornita la necessaria formazione: le sole designazioni (formali) non sono sufficienti perchè un soggetto autorizzato possa operare correttamente. Tali nomine, inoltre, dovranno essere declinate secondo le effettive attività svolte da ciascun autorizzato e non per “categorie di personale”. L’analisi delle attività unitamente ad un’adeguata formazione risulta, ancora una volta, l’unico strumento per raggiungere la piena compliance.
Se, da un lato, si è beneficiato fino a ora del cosiddetto periodo di tolleranza (previsto dall’art. 22 comma 13 del dlgs 101 del 2018), questo termine di grazia spirerà il 20 maggio.
Già ora l’Autorità Garante sta iniziando ad applicare le sanzioni senza più tener conto della “fase di prima applicazione”.
Lo spirare del termine di grazia dovrebbe essere preso seriamente dagli istituti scolastici che, per le ragioni sopra esposte, sono tenuti a realizzare buona parte degli adempimenti previsti dal GDPR e a impostare robuste prassi di rispetto della norma per assicurare adeguati livelli di tutela.
È facile immaginare come la mancata realizzazione di quanto richiesto dalla norma, oltre che rappresentare una perdita di un’opportunità, esponga l’ente al rischio di significative sanzioni amministrative, il cui rischio è ancora maggiore se vi è un rischio per i diritti e le libertà delle persone interessate al trattamento che, nel caso specifico, sono spesso soggetti vulnerabili.
