Anche le istituzioni scolastiche, durante lo svolgimento dei loro compiti, hanno il dovere di rispettare la privacy e tutelare e proteggere i dati personali che trattano.

Il trattamento dei dati da parte delle istituzioni scolastiche, compreso i dati a protezione speciale, è giustificato per motivi di interesse pubblico rilevante. L'art. 2 sexies del Codice Privacy aggiornato precisa che: "I trattamenti delle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g), del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell’Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.
2. Fermo quanto previsto dal comma 1, si considera rilevante l’interesse pubblico relativo a trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri nelle seguenti materie:
bb) istruzione e formazione in ambito scolastico, professionale, superiore o universitario". 

Le scuole, quindi, sia pubbliche che private, hanno l'obbligo di informare (tramite apposita informativa) gli interessati delle caratteristiche e modalità del trattamento dei loro dati, indicando i responsabili del trattamento. Si intende che gli interessati non sono solo gli studenti, ma anche le famiglie, e gli stessi professori. E' altresì importante che le scuole verifichino i loro trattamenti controllando se i dati siano eccedenti rispetto alle finalità perseguite. 

Per i trattamenti dei dati relativi agli esisti scolastici, degli studenti, e altri dati personali diversi da quelli ex art. 9 GDPR, non sono previste cautele ulteriori rispetto ai normali trattamenti. Anche qui si tratta di finalità di interesse pubblico. 

Le istituzioni scolastiche pubbliche possono trattare soltanto i dati personali necessari al perseguimento delle specifiche finalità istituzionali, che sono comunque finalità di rilevante interesse pubblico, in ossequio ai principi di finalità e non eccedenza, oppure quelli espressamente previsti dalla normativa di settore. Non possono essere chiesti dati non rilevanti per la finalità istituzionali. Quindi, per tali trattamenti non occorre il consenso degli studenti, la base giuridica del trattamento è, infatti, data dall'interesse pubblico.
Occorre, ovviamente, particolare cautela nel trattamento dei dati, trattandosi di dati relativi a soggetti generalmente minorenni. In alcuni casi si tratta anche di dati a trattamento speciale, cioè relativi alla salute o giudiziari. In questo caso le cautele devono essere massime e soprattutto occorre verificare se il trattamento di quei dati sia davvero necessario per il perseguimento delle finalità scolastiche. 

Accesso ai dati

Per conoscere le informazioni e i dati eventualmente conservati dall'istituzione scolastica, ed esercitare i diritti di rettifica e correzione, è possibile rivolgersi al titolare del trattamento, in genere lo stesso istituto scolastico. In caso di mancata risposta ci si può rivolgere al Garante oppure alla magistratura. Per quanto riguarda, invece, i singoli atti amministrativi, spetta all'istituto valutare se il richiedente ha un interesse diretto, concreto ad attuale ad ottenere l'atto in questione, in base alle norme in materia di accesso agli atti della Pubblica Amministrazione. E' comunque possibile accedere alla documentazione relativa ad alunni  e studenti, in base alla legge 241 del 1990 (artt. 22 e ss). 

Registro dei trattamenti

Le scuole devono tenere il registro dei trattamenti. Il Miur, con nota n. 877 del 03/08/2018, ha trasmesso alle scuole uno schema di Registro delle attività di trattamento per le istituzione scolastiche, fornendo anche una Guida operativa e una nota metodologica che illustra la metodologia da applicare per la compilazione del registro. Le attività di trattamento (es. gestione iscrizioni, gestione carriera scolastica alunni, gestione personale docente...) svolte normalmente dalla scuole sono dettagliatamente descritte nella Guida.

Foto degli alunni

Le istituzioni scolastiche pubbliche possono trattare solamente i dati personali necessari al perseguimento di specifiche finalità istituzionali oppure quelli espressamente previsti dalla normativa di settore. Per tali trattamenti non sono tenute a chiedere il consenso degli studenti o dei genitori. In tale ottica la pubblicazione di foto degli alunni sui siti istituzionali o sui social afferenti alla scuola può essere considerata lecita in quanto rientra tra le attività istituzionali la realizzazioni di eventi quali recite, progetti e attività scolastiche. 

La riproduzione dei dati deve però rispondere alla sola esigenza di documentazione dell'attività didattiva, in ossequio al principio di proporzionalità. Per cui le riprese degli eventi dovrebbero essere limitate al gruppo nello svolgimento dell'attività, evitando i primi piani. Gli studenti devono essere sempre ripresi in atteggiamenti positivi o costruttivi, mai negativi. La diffusione delle immagini (ad esempio su internet) deve essere soggetta al consenso dei genitori. 

Guida del Garante

Il Garante per la privacy ha pubblicato una esaustiva guida nel quale, oltre a chiarire la regolamentazione in materia, inserisce numerosi esempi pratici per comprendere come tutelare la privacy degli studenti (link alla guida). Ad essa si è aggiunto una FAQ. 

Titolare del Trattamento dei Dati

Il titolare è responsabile giuridicamente dell'ottemperanza degli obblighi previsti dalla normativa, sia nazionale che internazionale, in materia di protezione dei dati personali, in tal senso è centrale nell'ambito del regolamento europeo il principio di responsabilizzazione del titolare del trattamento. Gli obblighi sono:
- trattamento dei dati in modo lecito, corretto e trasparente nei confronti dell'interessato; 
- acquisizione del consenso dall'interessato nei casi previsti (in particolare per i minori); 
- divieto di trattamento dei dati ex art. 9 tranne nei casi di esenzione; 
- informare correttamente e in maniera trasparente gli interessati; 
- garantire il rispetto dei diritti degli interessati (in particolare per i processi decisionali automatizzati); 
- adottare le misure tecniche e organizzative adeguate per garantire, sin dalla fase della progettazione e per impostazione predefinita (privacy by design e by default), la tutela dei diritti dell'interessato e per garantire che i dati non siano persi, alterati, distrutti o comunque trattati illecitamente; 
- in caso di contitolarità, concordare col contitolare la ripartizione delle responsabilità; 
- in caso di titolare non avente sede in Europa, nominare un rappresentante nell'Unione europea; 
- vincolo al dovere di riservatezza dei dati, inteso come dovere di non usare, comunicare o diffondere i dati al di fuori del trattamento; 
- fornire le istruzioni al responsabile del trattamento; 
- tenere il registro di trattamenti; 
- fornire le istruzioni e formare il personale; 
- documentare le violazione dei dati personali, notificarle al Garante e comunicarle agli interessati nei casi previsti; 
- cooperare con l'autorità di controllo quando richiesto; 
- redigere le valutazioni di impatto nei casi previsti; 
- nominare il DPO se previsto. 

Responsabile protezione dei dati

L’art. 39 del Regolamento europeo sulla protezione dei dati personali elenca i principali compiti del DPO (Responsabile della protezione dei dati):

1. Il responsabile della protezione dei dati | DPO | è incaricato almeno dei seguenti compiti:

a) informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal Regolamento Privacy UE 2016/679 (GDPR), nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;

b) sorvegliare l’osservanza del Regolamento Privacy UE 2016/679 (GDPR), di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;

d) cooperare con l’autorità di controllo;

e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

2. Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.

INFORMATIVE

>