di Patrizia Cardillo, Forum PA, 10.11.2023.

Con un provvedimento del 28 settembre scorso il Garante privacy torna ad affrontare il tema della tutela dei dati personali all’interno della scuola. In particolare, evidenzia che i dati che consentono di identificare gli alunni non possono, in alcun caso, essere inseriti in circolari, delibere o altre comunicazioni non rivolte a specifici destinatari. Il tema è stato affrontato anche nel recente aggiornamento del Vademecum “La scuola a prova di privacy”, che arriva a sette anni dalla prima edizione del 2016.

I dati personali che consentono di identificare gli alunni non possono essere inseriti nelle circolari, nelle delibere o in altre comunicazioni non rivolte a specifici destinatari, anche nel caso in cui gli alunni siano coinvolti in casi di bullismo, siano stati oggetto di sanzioni disciplinari o interessati da altre vicende delicate. Il chiarimento è contenuto nel Provvedimento del Garante 28 settembre 2023, n. 41 che ammonisce un istituto scolastico per violazione degli artt. 5 e 6 del Regolamento europeo 2016/679 (di seguito: Regolamento) e 2-ter del Codice Privacy. Il Provvedimento segue altri interventi analoghi del Garante nei confronti di Istituti scolastici e si affianca alla nuova versione del Vademecum “La Scuola a prova di Privacy” (aggiornato al 2023, dopo la prima edizione del 2016), dove sono affrontati molteplici aspetti correlati al trattamento dei dati personali in ambito scolastico.

Scuola e privacy: i fatti e il Provvedimento del Garante

Due genitori hanno segnalato al Garante il comportamento di un insegnantecheha inviato una email, contenente informazioni relative al comportamento “non consono” tenuto in classe dal figlio e da un altro alunno, oltre che a loro anche alla dirigente scolastica, a tutti gli insegnanti della classe nonché ai genitori dell’altro ragazzo e a tutti i genitori degli altri alunni della classe, comunicando quanto accaduto e l’intenzione di incontrare il dirigente scolastico a tal proposito.

Il Garante, al termine dell’istruttoria, ha dichiarato illecita la condotta tenuta dall’Istituto scolastico per violazione degli artt. 5 e 6 del Regolamento e 2-ter del Codice. Tenendo però conto degli elementi forniti dal titolare del trattamento, compresa l’erronea convinzione che tutti i soggetti appartenenti alla classe, famiglie comprese, fossero tenuti a conoscere gli accadimenti avvenuti all’interno della classe stessa nell’interesse stesso degli alunni (minori), del ristretto numero dei soggetti interessati, delle iniziative formative migliorative intraprese e dell’assenza di precedenti violazioni pertinenti, il Garante ha ritenuto sufficiente ammonire il titolare.

La norma di riferimento

Il Regolamento considera il trattamento di dati personali effettuato in ambito pubblico lecito quando è necessario “per adempiere un obbligo legale al quale è soggetto il titolare del trattamento” o “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6, paragrafo 1, lett. c) ed e)).

La normativa nazionale, altresì, ai sensi dell’art. 6, par. 2 del Regolamento ha determinato ulteriori requisiti specifici per garantire un trattamento lecito e corretto e relativamente alle operazioni di trattamento quali la “diffusione” di dati personali e la “comunicazione” le stesse sono ammesse solo quando previste da una norma di legge o di regolamento o da atti amministrativi generali (art. 2-ter, commi 1 e 3, del Codice).

Il titolare del trattamento è poi, in ogni caso, tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quello di “liceità, correttezza e trasparenza” nonché di “minimizzazione”, in base ai quali i dati personali devono essere “trattati in modo lecito, corretto e trasparente nei confronti dell’interessato” e devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. a) e c) del Regolamento).

Il Vademecum “La Scuola a prova di Privacy”

L’attenzione del Garante verso la scuola e, più in generale, verso le tematiche che investono i minori e non solo, legate alla diffusione e all’uso di nuove tecnologie, è evidente nella nuova versione del Vademecum “La scuola a prova di Privacy” che affronta gli aspetti più rilevanti connessi al trattamento dei dati personali nelle istituzioni scolastiche. Il vademecum raccoglie anche i casi affrontati dal Garante con maggiore frequenza offrendo così elementi di riflessione e di approfondimento per tutti coloro che interagiscono con l’ambiente scolastico, a partire dalle scuole e dai loro Responsabili della protezione dei dati, anche alla luce dei tanti quesiti che vengono posti da studenti, famiglie, docenti, personale e istituzioni scolastiche.

Il vademecum punta, inoltre, a chiarire dubbi o fraintendimenti legati al trattamento dei dati nelle istituzioni scolastiche – dall’attività didattica alla gestione dei rapporti di lavoro – ma presenta anche alcune indicazioni e suggerimenti su come aiutare i più giovani a tutelarsi di fronte ai rischi connessi allo sviluppo del mondo digitale (come il cyberbullismo, il revenge porn e il sexting).

È un agile strumento per orientare le scelte delle scuole e per assicurare la più ampia protezione dei dati delle persone che crescono, studiano e lavorano nel mondo scolastico.

Il vademecum è disponibile nella pagina tematica del sito del Garante dedicata al mondo della scuola www.gpdp.it/scuola.

Contributo alla Rubrica “Appunti di Privacy”: notizie, spunti di riflessione, brevi commenti, chiarimenti sui principali temi di attualità sul tema della tutela dei dati personali. A cura di Patrizia Cardillo, Esperta di Protezione dati personali, in collaborazione con FPA

.

.

.

.

.

.

.