GDPR e scuola: gli obblighi di legge da rispettare per la privacy

Al momento stai visualizzando GDPR e scuola: gli obblighi di legge da rispettare per la privacy

GDPR e scuola: si torna sui banchi, senza le restrizioni dovute al Covid19. Invariati gli obblighi degli istituti su privacy e protezione dei dati

Si torna a scuola senza restrizioni Covid, ma occhio alla privacy

Il nuovo anno scolastico è già iniziato da tempo, ora senza restrizioni dovuti alla pandemia. Stop ai controlli al Green Pass, alla verifica degli ingressi e simili, che hanno esaurito la propria vigenza il 31 Agosto 2022.

Si semplifica quindi, ma non perde d’importanza, la tutela della privacy degli studenti, del personale, delle famiglie, dei collaboratori e la protezione dei rispettivi dati. Il GDPR resta la stella polare in questo campo. Gli istituti di ogni ordine e grado sono vincolati ai sei pilastri del regolamento:

  • liceità;
  • correttezza;
  • trasparenza;
  • integrità e riservatezza dei dati;
  • minimizzazione;
  • limitazione delle finalità dei trattamenti e della conservazione dei dati.

Sarà compito del responsabile del trattamento, a inizio anno, quello di

  • aggiornare l’organigramma privacy
  • le informative privacy
  • il registro delle attività di trattamento.

Per saperne di più > Educazione digitale e sicurezza informatica: obblighi per società e scuola

Gli obblighi del titolare ad inizio anno

Vediamo i dettagli. Il titolare dovrà iniziare dalla revisione dei seguenti documenti:

  • organigramma privacy, contenente le lettere di incarico e le istruzioni per il personale su come eseguire il trattamento dei dati. Dovranno anche essere riviste le nomine e andranno verificati i vari responsabili;
  • le informative privacy;
  • il registro delle attività di trattamento.

Il DPO, la cui nomina è obbligatioria per gli istituti pubblici, dovrà poi verificare l’effettiva rispondenza di quanto espresso in via documentale e la prassi in atto.

Altro passaggio fondamentale, che risponde alle previsioni dell’art. 29 del GDPR, è quello di provvedere alla formazione sul trattamento dati il personale neoassunto.

Come aggiornare le informative privacy

Le scuole hanno l’obbligo di aggiornare le informative riferite a tutti gli interessati che, nel caso specifico, sono di solito gli alunni, i genitori, i fornitori, i dipendenti, i collaboratori. Sulle informative vige l’obbligo di trasparenza e chiarezza, quindi il testi dovrà essere chiaro, breve, intellegibile.

Dati salienti da inserire nelle informative sono:

  • periodo di conservazione dei dati,
  • base giuridica del trattamento,
  • diritti dell’interessato,
  • contatti del responsabile della protezione dati.

secondo gli obblighi previsti dagli artt. 12, 13 e 14 del GDPR. Ricordiamo un dettaglio importante: i tempi di conservazione dei dati devono essere stabiliti secondo le previsioni del nuovo “Massimario di conservazione e di scarto per le istituzioni scolastiche”.

Per saperne di più > Informativa privacy? L’ultima cosa da fare (e non con copia e incolla)

Aggiornare il registro delle attività di trattamento dei dati: il GDPR applicato alla scuola

Il titolare deve anche tenere e mantenere aggiornato il registro dei trattamenti in corso. La prassi consigliata è quella di verificare il registro a inizio anno e poi mantenerlo aggiornato nel caso in cui, in corso d’anno, vengano introdotti ulteriori trattamenti dati.

Il registro delle attività è un documento molto importante perchè svolge più funzioni. Da una parte permette eventuali verifiche da parte del Garante Privacy,dall’altra è un documento necessario per la valutazione e l’analisi del rischio. Consente infatti la mappatura dei trattamenti e quindi facilita la valutazione della conformità delle attività svolte. E’ utile anche come documento organizzativo, non solo di conformità, perchè consente la visione d’insieme sui trattamenti in atto nell’istituto.

La privacy non è solo “burocrazia”: il problema della sicurezza dei dati
Ricordiamo che il GDPR, più che sacrosantamente, collega la privacy e i diritti degli interessati alla protezione dei dati personali e sensibili. Senza sicurezza dei dati non esiste privacy. Sul punto il GDPR è esplicito. Riportiamo, dalla pagina ad hoc del nostro Garante, questo estratto:

Il regolamento pone con forza l’accento sulla “responsabilizzazione” (accountability nell’accezione inglese) di titolari e responsabili – ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento (si vedano artt. 23-25, in particolare, e l’intero Capo IV del regolamento). Si tratta di una grande novità per la protezione dei dati in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.

Di conseguenza il ressonsabile del trattamento ha la responsabilità di garantire che i dati personali sono

trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza») (art. 5, par.f, lett.a del GDPR).

In concreto? Si tratta di implementare misure di sicurezza informatica (e non solo) a protezione dei sistemi e dei dati in esso contenuti. Dalla scelta di un sistema operativo sicuro, protetto da firewall, all’implementazione di meccanismi di verifica degli accessi ai dati trattati all’adozione di policy specifiche che indichino procedure per minimizzare i rischi ecc…

Qui non ci dilunghiamo: il punto è complesso e va declinato secondo le peculiarità del singolo istituto, sotto la guida di un consulente esperto di sicurezza informatica.

GDPR e scuola: cosa pubblicare sul sito web, cosa no

Per chiudere, una indicazione pratica. Sul sito web scolastico vanno pubblicati:

  • la documentazione privacy sopra elencata (e non dimentichiamoci la cookie policy!)
  • il responsabile della protezione dei dati (DPO) e i suoi contatti. Qui il Garante ha specifica che pubblicare la nomina del DPO non assolve all’obbligo di pubblicità. Dalla nomina non è facile evincere i contatti del DPO ed il GDPR prevede che l’interessato debba poter contattare il DPO in maniera “facile e diretta”;
  • il Garante consiglia, sempre in riferimento ai dati di contatto del DPO, la pubblicazione sia in sezione privacy che in sezione amministrazione trasparente del sito web.

Non vanno invece assolutamente pubblicati sul sito web gli elenchi degli alunni suddivisi per classi. Il Ministero dell’Istruzione ha consigliato agli istituti di inviare i nominativi degli studenti divisi per classi all’indirizzo email fornito dalla famiglia al momento dell’iscrizione. In alternativa questi dati possono essere resi disponibili nell’Area Documentale del Registro Elettronico.

Resta valida la prassi, diffusissima, di pubblicare l’elenco degli studenti nella bacheca scolastica. Il Ministero in questo caso ha specificato che tali elenchi non devono contenere altri dati personali degli studenti oltre i nominativi. Sia che la pubblicazione di tali liste avvenga nel registro elettronico, sia che avvenga nella bacheca scolastica, essa non deve comunque eccedere i 15 giorni.

Per saperne di più > Scuola e privacy: breve guida in 15 punti


Necessiti di nominare un DPO esterno? Ti occorre una consulenza? Contatta i nostri DPO!