In ambito di privacy e scuola, il GDPR ha introdotto una novità molto importante che consiste nell'adozione del registro delle attività di trattamento, uno strumento fondamentale che consente al titolare di garantire massimo rispetto delle regole nella gestione e nell'utilizzo dei dai personali. Nello specifico, si punta su correttezze e trasparenza, oltre che alla prevenzione di qualsiasi rischio al quale i soggetti possono essere esposti.
Cos'è il registro delle attività di trattamento
Il registro delle attività di trattamento è stato realizzato sulla falsa riga del vecchio documento programmatico di sicurezza, da compilare obbligatoriamente in caso di trattamento di dati personali con strumenti elettronici secondo l'art. 34, lett. g), del decreto legislativo 196/2003.
La differenza sta che mentre in passato il titolare che intendeva trattare dati personali era tenuto a inviare una notifica preventiva al Garante, adesso le verifiche da parte di quest'ultimo avvengono dopo che il titolare ha effettuato i trattamenti ritenuti necessari. Rimane invariata la stesura per iscritto del documento, che deve essere conservato anche in formato digitale.
Chi è obbligato ad adottare il registro delle attività di trattamento
L'obbligo di adottare il registro è esteso a:
- titolare del trattamento;
- responsabile del trattamento.
L'obbligo, tuttavia, si applica solo se entrambi appartengono a imprese o organizzazioni con almeno 250 dipendenti, oppure se hanno meno dipendenti ma rispondono ad almeno uno di questi aspetti:
- possono rappresentare un rischio, più o meno elevato, per i diritti e la libertà dell'interessato;
- non sono occasionali;
- riguardano le categorie particolari di dati contemplate dall'art. 9, paragrafo 1 del GDPR, cioè dati sensibili + dati genetici e biometrici.
Dato che anche le scuole trattano quotidianamente i dati personali di tanti soggetti, dagli alunni ai fornitori, e che molti di essi possono essere molto sensibili (possono riguardare anche reati e condanne penali), ogni istituto è obbligato a redigere e aggiornare il proprio registro delle attività di trattamento.
Le categorie di lavoratori che devono fare lo stesso sono numerose, considerando che abbracciano anche piccoli imprenditori come artigiani, commercianti, liberi professionisti, fondazioni e associazioni che, nonostante possano avere anche un solo dipendente, hanno a che fare con dati sanitari o relativi a reati e/o condanne penali.
In ogni caso, la compilazione del registro è suggerita e può essere utile a chiunque.
A cosa serve il registro delle attività di trattamento
Il registro delle attività di trattamento serve a due scopi principali:
- consente al Garante di poter effettuare i dovuti controlli;
- è molto utile per chi lo compila, dato che gli fornisce un quadro completo e aggiornato di tutti i dati trattati sotto la sua responsabilità. Di conseguenza, è possibile prevedere in anticipo eventuali rischi e andare a colmare lacune, laddove si presentassero.
Cosa contiene il registro
Il registro delle attività di trattamento deve contenere al suo interno tutti i trattamenti svolti, quindi un elenco ben specifico illustrato dall'art. 30, par. 1, del GDPR:
- il nome e i dati di contatto del titolare del trattamento, del responsabile della protezione dei dati e di un eventuale contitolare del trattamento;
- lo scopo del trattamento;
- una descrizione dei soggetti o delle categorie di soggetti interessati (es. alunni, genitori, personale docente) e della tipologia di dati personali (es. particolari, relativi a reati o condanne penali, comuni);
- i destinatari ai quali i dati verranno trasmessi, compresi i destinatari di Paesi terzi oppure organizzazioni internazionali;
- se ci sono, eventuali trasferimenti di dati personali verso Paesi terzi oppure organizzazioni internazionali;
- i termini per la cancellazione delle varie categorie di dati, espressi in mesi o anni;
- una descrizione delle misure di sicurezza tecniche e organizzative utilizzate per ridurre la possibilità di messa a rischio dei dati.
Questo contenuto del registro, nonostante sia abbastanza breve, è già importante e adeguato per avere tutte le informazioni necessarie per effettuare una valutazione dei rischi e per poter collaborare efficacemente con il Garante.
Ovviamente, è possibile inserire altre informazioni considerate utili; anzi, più il registro viene arricchito, più diventa efficace e può essere di esempio per altri titolari che desiderano implementare il proprio.
Le criticità del registro proposto dal Miur
Per far sì che il registro di ogni istituzione scolastica sia corretto, è opportuno effettuare un censimento completo di tutti i trattamenti effettuati all'interno della struttura.
Nelle sue indicazioni, il Miur specifica che ogni trattamento "comprende uno o più procedimenti caratterizzati dalla medesima modalità di trattamento, finalità, tipologia di trattamento, base giuridica e categoria o categorie di interessati".
Partendo da questo presupposto, lo schema messo a disposizione dei dirigenti scolastici in formato Excel sembra, però, non essere del tutto esaustivo e conforme. In riferimento al personale docente, ad esempio, lo schema prevede il trattamento dei dati personali sulla sola base della tipologia di rapporto contrattuale:
- gestione contratto a tempo indeterminato - personale docente;
- gestione contratto a tempo determinato (supplenze annuali) - personale docente;
- gestione contratto per supplenze brevi e saltuarie - personale docente.
La frammentazione risulta eccessiva, considerando che in generale i dati del personale docente vengono trattati tutti allo stesso modo, a prescindere dalla tipologia di contratto in essere:
- modalità di trattamento: utilizzo di servizi ICT - gestione manuale;
- finalità: gestione degli aspetti relativi al trattamento giuridico ed economico del personale e verifica del possesso dei requisiti per l'assunzione;
- tipologia di trattamento: raccolta - registrazione - conservazione - estrazione - consultazione; - elaborazione - modifica - comunicazione - diffusione - limitazione;
- base giuridica: esecuzione di un compito di interesse pubblico o pubblici poteri del titolare derivanti da normativa nazionale;
- categoria di interessati: personale docente.
Date le caratteristiche in comune, le tre attività potevano essere tranquillamente racchiuse in un'unica procedura. Ma non è tutto: lo schema appare ridondante anche perché, una volta presa in considerazione la categoria "personale docente" e individuate le attività di trattamento dei dati personali, bisogna poi censire come trattamenti a parte quelli che riguardano il personale dipendente dell'istituzione scolastica, cosa che non fa altro che appesantire il documento e creare confusione.
Per semplificare il tutto, chi compila dovrebbe ragionare in termini di processo, quindi prendendo in esame un'insieme di attività correlate o che interagiscono tra loro e analizzando l'obiettivo finale, e non la categoria di interessati o di dati oggetto del trattamento.
Lo stesso Garante, per altro, chiarisce che le categorie di interessati vanno specificate per tipologia, senza scendere in sottocategorie che poco interessano allo scopo del registro.
Al momento non ci sono ulteriori indicazioni da parte del Miur, ma i vari titolari sperano che il documento venga rivisto, semplificato, perfezionato e reso sicuramente più intuitivo e performante.