Proteggere la privacy a scuola

Il GDPR è entrato nel mondo della scuola il 25 maggio 2018 quasi in sordina ma è bene cercare di far chiarezza sul significato e sulle novità che tale regolamento ha portato all’interno delle istituzioni scolastiche.

Il nuovo Regolamento europeo sulla privacy (GDPR), approvato il 14 Aprile 2016, si occupa della protezione delle persone fisiche con riguardo al trattamento dei dati personali e della libera circolazione di tali dati. Un breve inciso è d’obbligo: la protezione delle persone fisiche è un diritto assoluto che tuttavia non coincide con il diritto alla protezione dei dati personali, questo infatti non è un diritto assoluto ma bensì deve essere bilanciato con altri diritti. È in quest’ottica che il GDPR ha il compito di fornire le direttive rispetto al trattamento dei dati personali e sensibili attraverso disposizioni generali e principi, l’adozione di misure di sicurezza e un apparato sanzionatorio amministrativo e giurisdizionale.

Cerchiamo ora di comprendere come il gdpr e il mondo della scuola si incontrano. Nel momento in cui nella scuola entra un nuovo alunno la scuola ha il compito di raccogliere tutti i dati necessari forniti dai genitori e al medesimo tempo ha il compito di proteggerli. Come può quindi la scuola garantire la protezione della privacy del minore e dei suoi dati? La scuola redige un trattamento dei dati personali grazie al quale potrà raccogliere, organizzare e conservare quanto il genitore avrà cura di comunicare. Ma quali sono in specifico i dati che la scuola ha il compito di trattare e proteggere? Il Regolamento definisce che per dato personale si intende qualsiasi informazione riferita ad una persona fisica con riferimento a elementi identificativi quali il nome, la data e il luogo di nascita e altri elementi caratteristici rispetto alla sua identità fisica, fisiologia, genetica, psichica, economica, culturale e sociale. La scuola e i suoi docenti hanno il compito di trattare tutti i dati raccolti con la massima protezione. È evidente come le figure che ruotano attorno a tale protezione dati in ambito scolastico sono principalmente tre: il titolare del trattamento, i responsabili del trattamento e i destinatari. Con il termine titolare del trattamento si fa riferimento alla scuola e affida al dirigente scolastico il compito di assicurare la massima protezione ai dati raccolti e trattati. I responsabili al trattamento, nella forma più semplice, sono gli insegnanti che si trovano nella condizione di raccogliere i dati sensibili del minore e della sua famiglia. Ultimo soggetto interessato al trattamento dei dati personali è il destinatario che per quanto concerne la Scuola dell’Infanzia è individuabile nella figura dell’alunno minore iscritto a scuola. Considerando tuttavia che si tratta di un minore il consenso al trattamento è autorizzato dal titolare della responsabilità genitoriale. È tuttavia necessario specificare che generalmente è sufficiente che uno solo dei genitori esprima il consenso ma se decade la bigenitorialità è fondamentale che tale consenso venga espresso da entrambe le figure genitoriali, salvo eventuale ricorso al giudice in caso di conflitto tra i due genitori.

Come già detto il GDPR fornisce disposizioni sui principi del trattamento. Tra questi sono da segnalare soprattutto tre principi a capo del titolare del trattamento e un principio riferito al destinatario. Il titolare del trattamento ed i connessi responsabili hanno il compito di rispettare il principio di trasparenza, il principio di limitazione delle finalità e il principio di integrità e riservatezza mentre il destinatario, o chi ne fa le veci, deve rispettare il principio di esattezza. Sebbene possano sembrare di facile comprensione vediamo di esaminare con chiarezza e semplicità il loro significato. Al destinatario e nello specifico ai genitori spetta il dovere di fornire i dati richiesti in maniera esatta e aggiornata. Il titolare, invece, deve rispettare la trasparenza assicurando chiarezza sulle modalità di trattamento dei dati nei confronti dell’interessato oltre alla tracciabilità dei dati. Limitazione della finalità, integrità e riservatezza sono principi interconnessi alla trasparenza in quanto prevedono che gli scopi del trattamento siano determinati, espliciti e legittimi e che i dati vengano trattati attraverso misure tecniche e organizzative adeguate che consentano di preservare i dati da trattamenti non autorizzati o illeciti.

Vediamo infine di conoscere alcuni elementi che accompagnano la gestione del trattamento dei dati. Secondo il GDPR il titolare deve informare il destinatario, in forma scritta preferibilmente in formato elettronico, rispetto all’uso specifico dei dati richiesti, la base giuridica del trattamento e altre informazioni necessarie a garantire un trattamento corretto e trasparente. Viene quindi redatta un’informativa che, in ottemperanza degli articoli 13 e 14 del Regolamento, si presenta come elemento essenziale ai fini dell’espressione del consenso al trattamento dei dati, deve indicare il periodo di conservazione dei dati, deve essere fornita prima di effettuare la raccolta dei dati e deve assolutamente avere una forma concisa, trasparente, intelligibile e facilmente accessibile. Accanto all’informativa è utile conoscere il diritto di accesso ai dati personali raccolti appartenente al destinatario del trattamento. Si tratta nello specifico del diritto a conoscere e ottenere notifica e comunicazione su finalità e modalità di trattamento dei dati e la possibilità di consultare direttamente in modo sicuro i propri dati.

Certo il Regolamento UE n.2016/679 risulta essere ben più complesso ed articolato rispetto a quanto qui esposto limitatamente alla protezione dei dati a scuola. Per questo si consiglia la guida all’applicazione del GDPR redatta dal Garante della Privacy o l’ottimo manuale edito IPSOA. Per chi volesse invece ampliare la propria conoscenza rispetto alla protezione della privacy a scuola prima dell’applicazione del GDPR può trovare interessante il Vademecum predisposto dal Garante della Privacy nell’ottobre 2016.