\nPer iniziare al meglio, ricordiamo a dirigenti e personale amministrativo cos\u2019\u00e8 necessario fare per gestire e tutelare la privacy degli utenti della scuola<\/strong>. Per prima cosa, il responsabile della protezione dei dati deve aggiornare e revisionare tutta la documentazione predisposta dall\u2019istituto.<\/p>\n
In particolare, \u00e8 bene partire dai seguenti documenti:<\/p>\n
- \n
- Organigramma privacy<\/strong>, lettere di incarico e istruzioni al trattamento per il personale, revisione nomine e controllo dei responsabili del trattamento<\/li>\n
- Informative privacy<\/strong><\/li>\n
- Registro delle attivit\u00e0 di trattamento<\/strong><\/li>\n<\/ul>\n
Ogni anno, come primo step, le scuole devono verificare le nomine effettuate, i responsabili del trattamento designati e i contenuti dell\u2019organigramma privacy.<\/p>\n
Si suggerisce altres\u00ec di autorizzare e formare al trattamento dei dati il personale neoassunto<\/strong>, e di organizzare un corso di formazione o definire linee guida per tutti i dipendenti (anche per quelli assunti a tempo indeterminato).<\/p>\n
Successivamente, le scuole sono tenute ad aggiornare le informative<\/strong> per tutti gli interessati (alunni, genitori, fornitori e dipendenti).
\nLa chiarezza \u00e8 il pilastro base della comunicazione: i documenti devono avere forma concisa, ed essere facilmente accessibili e intellegibili da parte di chiunque.
\nSi ricorda poi che le informative devono contenere le informazioni relative al periodo di conservazione di dati, la base giuridica, i diritti dell\u2019interessato e i contatti del responsabile della protezione dei dati<\/strong>, cos\u00ec come soddisfare tutti i requisiti previsti dagli artt. 12, 13 e 14 del GDPR.
\nLo scopo \u00e8 quello di informare la persona dell\u2019esistenza del trattamento, nonch\u00e9 di mettere a sua disposizione tutte le informazioni necessarie.
\nOgni volta che vengono raccolti dati \u2013 ad esempio per l\u2019iscrizione o per un contratto \u2013 va perci\u00f2 consegnata all\u2019interessato un\u2019informativa per la privacy.
\nRelativamente ai tempi di conservazione delle informazioni, si ricorda che la scuola deve archiviare i dati secondo i tempi definiti dal nuovo \u201cMassimario di conservazione e di scarto per le istituzioni scolastiche\u201d.<\/p>\nTra i vari obblighi del titolare vi \u00e8 anche la tenuta del registro delle attivit\u00e0 di trattamento<\/strong>, documento che va aggiornato con regolarit\u00e0 (si consiglia in ogni caso una prima revisione gi\u00e0 all\u2019inizio dell\u2019anno scolastico).
\nNel registro vengono annotate le informazioni su tutti i trattamenti effettuati dall\u2019istituto.
\nQuesto documento svolge un duplice ruolo: oltre a permettere e agevolare eventuali verifiche da parte del Garante della privacy, risulta estremamente utile anche per chi lo redige, poich\u00e9 consente di avere una visione d\u2019insieme, sempre aggiornata, dei trattamenti sui dati personali messi in atto sotto la propria responsabilit\u00e0, dettagliandone ogni caratteristica.
\nIl registro delle attivit\u00e0 di trattamento \u00e8 anche uno strumento indispensabile per la valutazione e l\u2019analisi del rischio<\/strong>, in quanto consente la ricognizione, la mappatura e la valutazione di conformit\u00e0 di tutte le attivit\u00e0 svolte dalla scuola sui dati degli utenti, nonch\u00e9 prova che l\u2019azione del titolare sia pienamente rispondente alle richieste della normativa europea.<\/p>\n![\"\"](\"https:\/\/www.gdpronline.cloud\/blog\/wp-content\/uploads\/2022\/09\/scuola-infanzia-ed-elementari-950x545-1.jpg\")
<\/p>\nChe cosa va pubblicato sul sito web della scuola<\/strong>
\nLa scuola deve ricordarsi di aggiornare la pagina sul sito internet con la documentazione allegata, se la stessa viene modificata.
\nSul portale istituzionale vanno anche pubblicati i dati di contatto del responsabile della protezione dei dati (RPD).
\nQualche mese fa il Garante della privacy, con provvedimento n. 174 del 12 maggio 2022, ha sanzionato per la prima volta un comune per la mancanza di una valida e corretta designazione di un responsabile della protezione dei dati (RPD).
\nL\u2019Autorit\u00e0, tra i vari aspetti, ha evidenziato che: \u201cil mancato aggiornamento dei dati di contatto del RPD, tanto sul sito web dell\u2019ente quanto nella relativa comunicazione all\u2019Autorit\u00e0, costituisce una condotta sanzionabile al pari della mancata pubblicazione\/comunicazione\u201d.
\nDetto questo, occorre ricordare che \u00e8 fondamentale che tutte le pubbliche amministrazioni, tra cui le scuole, pubblichino sul sito i dati di contatto del proprio RPD, e che tale obbligo deriva dall\u2019art. 37, par. 7, del Regolamento Europeo 2016\/679 (GDPR).
\nIn relazione alle modalit\u00e0 di pubblicazione dei dati di contatto del RPD, il Garante evidenzia che tale obbligo \u201cmira a garantire che [\u2026] gli interessati (all\u2019interno o all\u2019esterno dell\u2019ente\/organismo titolare o responsabile del trattamento) [\u2026] possano contattare il RPD in modo facile e diretto\u201d (\u201cLinee guida sui responsabili della protezione dei dati\u201d).
\nInoltre l\u2019Autorit\u00e0 ribadisce che la \u201cmera pubblicazione dell\u2019atto di designazione del RPD, specialmente se effettuata indistintamente assieme a tutti gli altri atti e provvedimenti amministrativi adottati dal comune e pubblicati per finalit\u00e0 di trasparenza dell\u2019azione amministrativa o di pubblicit\u00e0 integrativa dell\u2019efficacia, non pu\u00f2, infatti, ritenersi idonea a soddisfare l\u2019obbligo di pubblicit\u00e0 previsto dal Regolamento, poich\u00e9 gli interessati non sono messi in condizione di reperire facilmente e direttamente i dati di contatto del RPD\u201d.
\nLe scuole devono perci\u00f2 pubblicare sul sito web istituzionale i dati di contatto del RPD all\u2019interno di una sezione facilmente riconoscibile dall\u2019utente e accessibile gi\u00e0 dalla homepage.
\nIl Garante, nelle \u201cFaq sul responsabile della protezione dei dati (RPD) in ambito pubblico\u201d, afferma che \u201cper quanto attiene al sito web, pu\u00f2 risultare opportuno inserire i riferimenti del RPD nella sezione \u201camministrazione trasparente\u201d, oltre che nella sezione \u201cprivacy\u201d eventualmente gi\u00e0 presente\u201d.
\nRelativamente al sito web, si ricorda altres\u00ec che la scuola deve pubblicare online solo dati la cui diffusione risulti realmente necessaria, proporzionata alla finalit\u00e0 di trasparenza perseguita e prevista dalle norme.
\nSpesso proprio in questo periodo capita di trovare sui siti istituzionali delle scuole gli elenchi degli alunni suddivisi per classi<\/strong>.
\nEbbene, questa \u00e8 una prassi sbagliata. Gi\u00e0 dieci anni fa, infatti, con provvedimento n. 383 del 6 dicembre 2012, il Garante per la privacy aveva sanzionato una scuola per aver diffuso sul proprio sito internet i nominativi e gli elenchi degli alunni iscritti alle classi prime.
\nQuesto nonostante l\u2019appello del dirigente, che si era giustificato sostenendo che la pubblicazione degli elenchi rientrasse nelle finalit\u00e0 di trasparenza amministrativa della scuola, in quanto pubblica amministrazione.
\nL\u2019Autorit\u00e0 in questo caso ha affermato che non \u00e8 accettabile diffondere i nominativi dei propri studenti distinti<\/strong> per sezioni sul sito web in assenza di una norma di legge o di un regolamento che ammetta tale operazione di trattamento dei dati personali.
\nLa pubblicazione online dei nomi sul portale istituzionale determina infatti una diffusione illecita di informazioni da parte di soggetti pubblici.
\nSul tema \u00e8 intervenuto qualche anno fa anche il Ministero dell\u2019Istruzione, il quale ha specificato che: \u201cla diffusione dei dati relativi alla composizione delle classi sul sito web istituzionale non \u00e8 consentita in quanto, secondo l\u2019art.2-ter del Codice in materia di protezione dei dati personali, la diffusione dei dati personali \u00e8 lecita solo se disposta espressamente dalla norma di legge o, nei casi previsti dalla legge, di regolamento\u201d (oggi anche da atti amministrativi generali).
\nPertanto, il Ministero suggerisce di rendere noti i nominativi degli studenti distinti per classe tramite apposita comunicazione all\u2019indirizzo email fornito dalla famiglia<\/strong> in fase di iscrizione, o \u2013 se possibile \u2013 tramite l\u2019area documentale riservata del registro elettronico, a cui accedono tutti gli studenti della classe di riferimento.
\nIn caso di comunicazione tramite email, per evitare violazioni privacy la stessa dovr\u00e0 essere inoltrata a ciascun destinatario con un messaggio personalizzato, oppure inviata utilizzando il campo denominato \u201ccopia conoscenza nascosta\u201d (CCN) al fine di non divulgare gli indirizzi email forniti dalle famiglie.
\nInoltre, si raccomanda di predisporre uno specifico \u201cdisclaimer\u201d con cui si evidenzia che i dati personali non possono essere oggetto di comunicazione o diffusione (ad esempio mediante la loro pubblicazione su blog o social network).
\nViene altres\u00ec ribadito che, per prassi, \u00e8 consentita la pubblicazione al tabellone esposto nella bacheca scolastica dei nominativi degli studenti distinti per classe.
\nIn tutti i casi, aggiunge ancora il Ministero, \u201cgli elenchi relativi alla composizione delle classi, resi disponibili con le modalit\u00e0 sopra indicate, devono contenere i soli nominativi degli alunni e non devono riportare informazioni relative allo stato di salute degli studenti o altri dati personali non pertinenti (es. luogo e data di nascita, ecc.).
\nSia in caso di pubblicazione nel registro elettronico sia nel caso di pubblicazione attraverso i tabelloni esposti nella bacheca scolastica, il dirigente scolastico definisce il tempo massimo di pubblicazione che comunque non deve eccedere 15 giorni\u201d.<\/p>\nPer implementare e aggiornare il proprio sistema privacy occorre adottare specifiche misure di sicurezza<\/strong>. Il legislatore europeo, nel GDPR, afferma infatti che i dati devono essere \u201ctrattati in maniera da garantire un\u2019adeguata sicurezza\u2026 compresa la protezione, mediante misure tecniche e organizzative adeguate\u201d.
\nSicurezza e privacy sono due temi correlati<\/strong>: senza sicurezza non pu\u00f2 esserci privacy e senza privacy non pu\u00f2 esserci sicurezza.
\nNel mondo dell\u2019istruzione vengono trattati nella maggior parte dei casi dati appartenenti a minori. Spetta alla scuola il compito di proteggere questa categoria di utenti da qualsiasi tipo di minaccia, e scongiurare la perdita dei loro dati.
\nLa sicurezza non \u00e8 un tema che si pu\u00f2 improvvisare. Dev\u2019essere programmata fin dal principio, \u201ctenendo conto dello stato dell\u2019arte e dei costi di attuazione\u201d, in base alle proprie capacit\u00e0 e ai propri mezzi. Ogni anno vanno analizzati il sistema informatico e la rete dell\u2019istituto da parte dell\u2019amministratore di sistema o del referente informatico.
\nDev\u2019essere adottato un sistema operativo sicuro<\/strong>, protetto da firewall, nonch\u00e9 misure volte ad attuare e implementare la politica di controllo degli accessi logici ai dati personali trattati attraverso sistemi informatici (ad es., politiche di accesso ad applicativi o a cartelle di rete condivise), secondo ruoli e responsabilit\u00e0 definite e profili personali attribuiti agli utenti.
\nVa poi limitato l\u2019accesso a file, cartelle e applicazioni in modo restrittivo<\/strong>, in modo che l\u2019accesso ai dati sia consentito solamente agli incaricati.
\nInoltre, \u00e8 fondamentale l\u2019educazione e la formazione di coloro i quali trattano informazioni<\/strong>, affinch\u00e9 adottino comportamenti virtuosi in fase di gestione delle stesse.
\nOltre a ci\u00f2, la scuola deve dotarsi di policy specifiche<\/strong>, ossia di procedure che regolino l\u2019agire dei dipendenti nell\u2019ambito delle diverse attivit\u00e0 di trattamento.
\nAd esempio, una policy fondamentale pu\u00f2 riguardare l\u2019utilizzo delle attrezzature informatiche, definendo l\u2019uso dei PC, la gestione delle password, l\u2019utilizzo della rete e della posta elettronica.<\/p>\n<\/p>\n
- Informative privacy<\/strong><\/li>\n