di Paolo Marini, Altalex, 31.8.2023.

Al personale docente e ATA autorizzazioni ai trattamenti non standardizzate e istruzioni chiare.

Tra pochi giorni avrà inizio l’anno scolastico e il mondo della scuola ha impegni rilevanti con le esigenze della protezione dei dati personali e della privacy, talmente rilevanti che l’autorità di controllo, il Garante della privacy, ha sentito la necessità di aggiornare (alla luce del Regolamento UE 2016/679) e ampliare i contenuti già presenti nel vademecum del 2016, non senza indicare i casi concreti più significativi o affrontati con maggiore frequenza nel corso degli anni. Lo ha fatto redigendo e pubblicando il nuovo vademecum 2023 dal titolo “La scuola a prova di privacy” (testo in calce), da cui prenderemo spunto, qua e là, anche per qualche considerazione ulteriore.

Nella prima parte del documento, intestata alle “Regole generali”, è precisato che la normativa in materia di protezione dei dati personali esclude, nel mondo dell’istruzione,un qualsivoglia regime differenziato tra enti pubblici e privati.

Sommario

1. Soggetti attivi dei trattamenti
2. Trattamenti, finalità e basi giuridiche
3. Tipologie di dati trattati (dati sensibili, in particolare)
4. Misure adeguate per la protezione delle informazioni e ruolo strategico del DPO

1. Soggetti attivi dei trattamenti

Dal punto di vista soggettivo è necessario individuare la figura/funzione del titolare del trattamento. Nell’apposito paragrafo (“Chi tratta i dati a scuola?”) non si equivochi l’incipit (“All’interno della scuola, titolare del trattamento, il dirigente scolastico, in quanto legale rappresentante, prende decisioni sulle attività di trattamento…”): la scuola è o dovrebbe sempre essere il titolare del trattamento, mentre il dirigente scolastico ne è il legale rappresentante (art. 25, comma 2, d.lgs. n. 165/2001: “il dirigente scolastico assicura la gestione unitaria dell’istituzione, ne ha la legale rappresentanza, è responsabile della gestione delle risorse finanziarie e strumentali e dei risultati del servizio”; ed altresì, “nel rispetto delle competenze degli organi collegiali scolastici”, gli spettano “autonomi poteri di direzione, di coordinamento e di valorizzazione delle risorse umane”).

Quanto al resto, gli organici degli istituti scolastici sono costituiti da personale docentee non docente (ATA). Tutti i dipendenti debbono essere autorizzati ai trattamenti con profili di autorizzazione corrispondenti alle mansioni e ai compiti spettanti. E se una prima linea di demarcazione corre senz’altro tra docenti e non docenti, anche tra i secondi i profili di autorizzazione relativi – tanto per fare un esempio, entrando in un dettaglio che il vademecum certamente presuppone -, al personale della segreteria didattica difficilmente potrebbero eguagliare quelli del personale in forza all’ufficio amministrazione e contabilità.

2. Trattamenti, finalità e basi giuridiche

Dal punto di vista oggettivo (trattamenti) i trattamenti di dati nel mondo scolastico rispondono generalmente alle “finalità di istruzione e formazione, rilascio di titoli di studio aventi valore legale, o connessi allo svolgimento di attività comunque soggette alla vigilanza del Ministero”.

Quanto alle basi giuridiche dei trattamenti (profilo da non confondere con quello delle finalità), è evidente che i trattamenti di dati legati allo svolgimento delle attività istituzionali dovranno ricondursi, per tutte le tipologie di dati personali (comuni e non), all’art. 6.1, lettere c) ed e), e dunque all’esecuzione di compiti di interesse pubblico e all’adempimento di obblighi di legge.

Ciò non toglie che per alcune tipologie di trattamenti entrino in gioco basi giuridiche diverse, come il consenso e/o il contratto (art. 6.1, lettere a) e b). Si tratterà – così spiega il Garante – di attività “non strettamente connesse a quelle didattiche o non previste dall’ordinamento scolastico se poste in essere da scuole private (ad es. per l’erogazione di corsi di musica, lezioni di lingua straniera o attività sportive, teatrali non previste dal curricolo scolastico)”.

3. Tipologie di dati trattati (dati sensibili, in particolare)

Quanto alle tipologie di dati personali, il Garante passa in rassegna le principali fattispecie di dati sensibili e anche giudiziari che possono essere oggetto di trattamento relativamente agli studenti, con esempi concreti: dati che rilevino le origini razziali ed etniche (“possono essere trattati dalla scuola per favorire l’integrazione degli alunni stranieri” e in alcuni casi possono desumersi anche dai nominativi o dai dati anagrafici degli alunni) oppure le convinzioni religiose (“per garantire la libertà di culto e per la fruizione dell’insegnamento della religione cattolica o delle attività alternative a tale insegnamento”), o ancora lo stato di salute (ad esempio, laddove siano necessarie specifiche misure di sostegno per alunni con disabilità, con disturbi specifici di apprendimento o più semplicemente per la gestione delle assenze per malattia, per la partecipazione alle attività sportive, eccetera, o laddove si imponga un regime alimentare differenziato dovuto a intolleranze, allergie o specifiche patologie) e poi leopinioni politiche (esclusivamente “per garantire la costituzione e il funzionamento degli organismi di rappresentanza: ad es., le consulte e le associazioni degli studenti e dei genitori”) e i dati personali relativi a condanne penali e reati (“per assicurare il diritto allo studio anche a soggetti sottoposti a regime di detenzione o di protezione”).

Naturalmente tutte le informazioni debbono essere (strettamente) necessarie rispetto alla specifica finalità del trattamento. Ciò implica sistematicamente, soprattutto nella delicatissima fase della raccolta, una cernita puntuale dei dati dell’interessato. Sul punto saranno determinanti le istruzioni da diramare e illustrare con chiarezza a tutto il personale, partendo proprio da coloro che ricoprano funzioni di front office con l’utenza.

Naturalmente, insieme a tanti dati personali comuni, dati sensibili e al limite giudiziari possono dover entrare in gioco anche nell’ambito dei rapporti di lavoro gestiti dagli enti scolastici con dirigenti, docenti e personale ATA. Il singolo istituto scolastico sotto questo profilo è un ordinario datore di lavoro che tratta i dati dei dipendenti per la gestione del rapporto lavorativo nel rispetto delle norme che regolano tutte le sue fasi, dall’assunzione fino alla cessazione. Il Garante ricorda di aver fissato “garanzie e misure a tutela della riservatezza e della libertà dei lavoratori” in relazione ai trattamenti delle categorie particolari di dati nel contesto lavorativo.
E così solo in casi tassativi e in presenza di particolari cautele il datore di lavoro tratterà informazioni relative, ad es., alle convinzioni religiose o all’adesione a sindacati, richiamando il proprio Provvedimento 5 giugno 2019.

4. Misure adeguate per la protezione delle informazioni e ruolo strategico del DPO

L’organizzazione scolastica deve adottare specifiche misure tecniche e organizzative per prevenire la conoscibilità ingiustificata di dati personali dei propri dipendenti da parte di soggetti terzi (famiglie, studenti, OO.SS., altri soggetti) ed evitare la circolazione nell’ambiente di lavoro di dati personali riferiti ai docenti o al personale amministrativo in favore di altri dipendenti non specificamente autorizzati. Così è da prestare attenzione, “anche in occasione della predisposizione dell’orario delle lezioni, a non rendere reciprocamente note a tutti i colleghi informazioni relative alle specifiche causali di assenza dal servizio, anche attraverso acronimi o sigle”.

La predisposizione di misure di sicurezza (adeguate) è da estendere alla più generale, stringente necessità che ogni tipologia di dato afferente agli interessati (dipendenti, studenti, ma anche collaboratori/professionisti esterni e altri fornitori di beni o servizi, per esempio) sia trattata in sicurezza, per garantire non solo la riservatezza ma anche per assicurare l’integrità e la disponibilità di banche dati, spesso articolate e di obiettiva rilevanza in relazione alle informazioni che custodiscono.

In tutto il ragionamento non era ancora entrato il Responsabile della Protezione dei Dati (RPD, più noto come DPO), che il Garante indica espressamente – quando affronta l’argomento dei diritti degli interessati e in particolare del diritto di accesso ai sensi dell’art. 15 (da tenere distinto dal diritto di accesso agli atti amministrativi ex lege 241/1990 e dall’accesso civico / accesso civico generalizzato ai sensi del d.lgs. n. 33/2013), quale possibile interlocutore e punto di riferimento degli interessati (cfr. art. 38.4).

Va solo rammentato che, in relazione ai compiti che l’art. 37 affida al RPD, questa funzione può rivestire – (solo) se adeguatamente attivata e valorizzata – un più ampio ruolo strategico nella crescita culturale dell’istituzione scolastica con riguardo alla tutela dei diritti delle persone, attraverso trattamenti corretti e modalità di interazione trasparenti.

• Garante Privacy, LA SCUOLA A PROVA DI PRIVACY (40 Mb)