Login

Sinergie di Scuola

Privacy, il GDPR applicato alle istituzioni scolastiche

Come cambia il Codice in materia di protezione dei dati personali con l’entrata in vigore del regolamento UE n. 2016/679.

Argomento spinoso quello del Codice in materia di protezione dei dati personali, di seguito Codice della privacy, sia per la complessità e fluidità della normativa di riferimento (il D.Lgs. 101/2018 – Regolamento di attuazione del GDPR in vigore dallo scorso 25 maggio che ha adeguato, appunto, il Codice della privacy alla normativa europea – è stato pubblicato in Gazzetta Ufficiale appena lo scorso 4 settembre, è entrato in vigore dal 19 settembre, ma già si possono contare due aggiornamenti del testo negli articoli 11 e 15), sia per le infinite implicazioni connesse con la gestione dei dati, soprattutto in ambito scolastico, vuoi per la giovane età degli interessati, vuoi per la gran quantità di dati con cui le istituzioni scolastiche vengono a contatto (vd.il Testo coordinato).

Il MIUR, con nota prot. n. 563 del 22/05/2018, ha fornito alle istituzioni scolastiche prime indicazioni in merito all’applicazione del nuovo Regolamento (UE) 2016/679. In particolare, il Ministero ha comunicato che ogni scuola deve dotarsi in via prioritaria del Responsabile della protezione dati personali: figura, interna o esterna, connotata da requisiti di autonomia e indipendenza, deve operare senza conflitto di interessi e possedere specifiche competenze in materia di trattamento dei dati personali. È consentito a più scuole di avvalersi di un unico Responsabile. Deve essere sempre soddisfatto il requisito della cosiddetta “raggiungibilità” del Responsabile per la protezione dei dati proprio per assicurare un efficace supporto al Titolare del trattamento.

Un mantra quando si parla di GDPR è “Occorre predisporre informative semplici e comprensibili”. Proviamo allora a parlare di trattamento dei dati come se volessimo farci comprendere da un qualsiasi cittadino non avvezzo a trattare di regolamenti, norme, articoli, commi, ma interessato a sapere quali siano i dati che lo riguardano di cui siamo in possesso e cosa ne facciamo.

Finalità del Codice

Il Codice della privacy si prefigge di garantire che il trattamento dei dati personali avvenga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità delle persone fisiche, con particolare riferimento alla riservatezza e all’identità personale. La tutela riguarda le persone fisiche e giuridiche.

Trattamento dei dati personali

È trattamento dei dati personali ogni operazione o complesso di operazioni che si svolgano con o senza l’ausilio di strumenti elettronici e comportino la «raccolta dei dati, nonché la loro registrazione, organizzazione, conservazione, consultazione, elaborazione, blocco, modificazione, utilizzo, interconnessione, comunicazione, diffusione, cancellazione, distruzione, selezione, estrazione, raffronto».

Tutte le informazioni relative a persone fisiche o giuridiche che ne permettano l’identificazione diretta (ad esempio i dati anagrafici, le immagini ecc.) o indiretta (ad esempio il codice fiscale, il numero di targa, l’indirizzo IP ecc.) sono dati personali.

Nell’ambito dei dati personali sono definiti sensibili, categorie particolari di dati personali secondo il GDPR, quelli che rivelano l’origine razziale o etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’appartenenza sindacale, relativi alla salute o alla vita sessuale. L’art. 9 del GDPR ha inserito nella nozione di “dati sensibili” anche i «dati genetici, i dati biometrici, i dati relativi all’orientamento sessuale».

Mentre sono dati giudiziari quelli che permettono di rivelare l’esistenza di provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale o la qualità di imputato o di indagato. L’art. 10 del GDPR comprende in tale ambito i dati relativi alle condanne penali e ai reati o connesse a misure di sicurezza.

Altri dati personali che con l’evoluzione delle tecnologie hanno assunto particolare rilievo sono quelli relativi alle comunicazioni elettroniche e quelli che consentono la geolocalizzazione, quindi informazioni sui luoghi frequentati e sugli spostamenti.

Principi generali del trattamento di dati personali

L’art- 5 del GDPR fissa i principi secondo cui deve avvenire ogni trattamento di dati personali. Essi sono:

  • liceità;
  • limitazione della finalità del trattamento;
  • minimizzazione dei dati;
  • esattezza e aggiornamento dei dati, compresa la tempestiva cancellazione dei dati che risultino inesatti rispetto alle finalità del trattamento;
  • limitazione della conservazione dei dati al tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento;
  • integrità e riservatezza dei dati personali garantendone l’adeguata sicurezza.

In merito al rispetto di tali principi il GDPR all’art. 5, paragrafo 2, richiede al titolare di rispettare tutti questi principi e di essere «in grado di comprovarlo». Questo ultimo è il principio di responsabilizzazione o accountability che è meglio definito all’art. 24, paragrafo 1 del GDPR. Secondo tale norma «il titolare mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente Regolamento».

Categorie particolari di dati personali

L’art. 9 del GDPR vieta di trattare i dati che rientrano nelle categorie particolari, a meno che non si verifichi uno dei seguenti casi:

  • l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche;
  • il trattamento è effettuato da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali;
  • il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;
  • il trattamento è necessario per uno dei seguenti scopi:
    • di diritto del lavoro e della sicurezza sociale e protezione sociale;
    • per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
    • per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
    • per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri;
    • per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali;
    • per motivi di interesse pubblico nel settore della sanità pubblica;
    • per il perseguimento di fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.

Per alcune di tali finalità sono previste limitazioni o prescrizioni ulteriori, anche nel diritto nazionale.

Consenso

Se il trattamento dei dati si fonda sul consenso dell’interessato, il titolare secondo l’art. 7.1 del GDPR deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso.

L’interessato ha validamente espresso il suo consenso se:

  • gli è stata resa l’informazione sul trattamento dei dati personali di cui agli artt. 13 e 14 del GDPR;
  • lo ha espresso liberamente, in modo inequivocabile e, qualora il trattamento persegua più finalità, in modo inequivocabile per ognuna di esse. Il consenso deve essere sempre revocabile.

Non è ammesso il consenso tacito, anzi occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato all’interno della modulistica.

Nel caso delle “categorie particolari di dati personali” il consenso deve essere esplicito, lo stesso vale per il consenso a decisioni basate su trattamenti automatizzati.

Il consenso non deve necessariamente essere documentato per iscritto, né è richiesta la forma scritta tuttavia tale modalità sicuramente atta a dimostrare la inequivocabilità del consenso e il suo essere esplicito.

È possibile invocare “l’interesse vitale di un terzo” per il trattamento dei dati personali solo se non può applicarsi nessuna delle altre condizioni di liceità.

Nel caso di trattamento di dati personali, può costituire valido fondamento di liceità, l’interesse legittimo del titolare o di un terzo solo qualora esso risulti prevalente sui diritti e le libertà fondamentali dell’interessato.

Nessuna autorità pubblica in esecuzione dei propri compiti può invocare il legittimo interesse del titolare quale idonea base giuridica per il trattamento dei dati personali. Il trattamento delle categorie particolari di dati personali non è lecito qualora sia operato unicamente a tutela di un legittimo interesse.

L’informativa sul trattamento dei dati

Prima di effettuare il trattamento dei dati deve essere fornita all’interessato apposita informativa.

Qualora i dati personali non siano raccolti direttamente presso l’interessato, l’informativa deve essere fornita al massimo entro un mese dalla raccolta, oppure al momento della comunicazione dei dati a terzi o all’interessato.

I contenuti dell’informativa sono elencati in modo tassativo all’art. 13 del GDPR.

Devono essere fornite all’interessato le seguenti informazioni:

  1. l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
  2. i dati di contatto del responsabile della protezione dei dati, ove applicabile;
  3. le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
  4. qualora il trattamento si basi sull’art. 6, paragrafo 1, lettera f, i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
  5. gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
  6. ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’art. 46 o 47, o all’art. 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

Inoltre, qualora i dati personali non siano stati ottenuti presso l’interessato, devono essere date informazioni sulle categorie di dati personali in questione.

L’informativa è data in linea di principio per iscritto, preferibilmente in formato elettronico, può tuttavia essere fornita in forma orale purché abbia le caratteristiche suindicate.

Il GDPR e il principio di responsabilizzazione

Uno dei principi cardine del GDPR è quello della “responsabilizzazione” di titolari e responsabili, i quali dovranno assicurare il rispetto dei principi applicabili al trattamento dei dati personali.

Secondo l’art. 24 del GDPR, che prevede proprio il principio dell’accountability, «Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario».

Occorre quindi configurare il trattamento dei dati personali in modo da prevedere fin dall’inizio le garanzie indispensabili al fine di soddisfare i requisiti del GDPR. Dovrà essere valutato il rischio connesso al trattamento dei dati. Rischio inteso quale impatto negativo sulle libertà e sui diritti degli interessati. Impatti che dovranno essere analizzati attraverso un apposito processo di valutazione al termine del quale il titolare:

  • potrà decidere se iniziare il trattamento (avendo adottato le misure idonee a mitigare sufficientemente il rischio) ovvero, se il rischio risulta ciononostante elevato;
  • dovrà consultare l’autorità di controllo competente per ottenere indicazioni su come gestire il rischio residuale; l’Autorità avrà quindi il compito di indicare le misure ulteriori eventualmente da implementare a cura del titolare e potrà, ove necessario, adottare tutte le misure correttive ai sensi dell’articolo 58 del Regolamento (dall’ammonimento del titolare fino alla limitazione o al divieto di procedere al trattamento).

La direzione dei Servizi informativi e dell’innovazione del Mef ha stilato una lista di azioni da compiere per facilitare l’implementazione della nuova normativa europea per la protezione dei dati personali. Tale lista può essere consultata e presa a riferimento anche dalla istituzioni scolastiche. Per approfondire il tema si veda questo link.

Il Titolare del trattamento dei dati personali può designare un Responsabile del trattamento. L’art. 28 del GDPR prevede in modo dettagliato le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli compiti specifici. La nomina avviene mediante stipula di un contratto con cui si specificano:

  • la natura, durata e finalità del trattamento o dei trattamenti assegnati;
  • le categorie di dati oggetto di trattamento;
  • le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel Regolamento.

Tra gli obblighi previsti dal GDPR vi sono:

  • la tenuta del registro dei trattamenti svolti (art. 30, paragrafo 2);
  • l’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (art. 32);
  • la designazione di un RPD-DPO, nei casi previsti dal Regolamento o dal diritto nazionale (art. 37).

Possono essere nominati sub-responsabili del trattamento, ma il responsabile primario risponde dinanzi al titolare dell’inadempimento dell’eventuale sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l’evento dannoso «non gli è in alcun modo imputabile» (art. 82, paragrafo 1 e paragrafo 3).

Il registro dei trattamenti

I contenuti del registro sono specificati all’art. 30 del GDPR. Deve contenere:

  1. il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
  2. le finalità del trattamento;
  3. una descrizione delle categorie di interessati e delle categorie di dati personali;
  4. le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
  5. ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’art. 49, la documentazione delle garanzie adeguate;
  6. ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  7. ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’art. 32, paragrafo 1.

Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

Il MIUR, con nota prot. n. 877 del 3/08/2018, ha fornito uno schema di registro delle attività di trattamento per le istituzioni scolastiche. Per la corretta compilazione dello stesso sono state fornite apposite linee guida alla compilazione

I diritti degli interessati

Negli artt. 11 e 12 del GPR sono specificate le modalità per l’esercizio di tutti i diritti da parte degli interessati che i titolare del trattamento devono rispettare.

Innanzitutto, il titolare del trattamento deve facilitare l’esercizio dei diritti da parte dell’interessato adottando ogni misura, sia tecnica che organizzativa, a ciò idonea. In tal senso il Responsabile del trattamento, laddove designato, è tenuto a collaborare con il titolare ai fini dell’esercizio di tali diritti.

Di contro il titolare ha diritto di chiedere informazioni necessarie a identificare l’interessato, che questi è tenuto a fornire secondo modalità idonee.

L’interessato per tutti i diritti deve ricevere risposta dal titolare del trattamento entro il termine di 1 mese, elevabili a 3 mesi in casi di particolare complessità. In ogni caso entro 1 mese occorre dare riscontro all’interessato, anche in caso di diniego.

La risposta deve essere oltre che intellegibile, concisa, trasparente e facilmente accessibile; scritta con linguaggio semplice e chiaro.

La complessità del riscontro all’interessato deve essere valutata dal titolare del trattamento.

Altra importante novità introdotta dall’art. 17 del GDPR è il diritto all’oblio, che prevede che «l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali».

L’approfondimento è stato approntato facendo riferimento, oltre che alla normativa di settore, anche alle indicazioni fornite dal Garante per la privacy nelle linee guida predisposte per l’applicazione del Regolamento.

Leggi altri contenuti su:

© 2024 HomoFaber Edizioni Srl - Tutti i diritti riservati. Sono vietate la copia e la riproduzione senza autorizzazione scritta. Sono ammesse brevi citazioni ed estratti indicando espressamente la fonte (Sinergie di Scuola) e il link alla home page del sito.