In quanto rappresentante legale dell'istituzione scolastica, il Dirigente scolastico è il titolare del trattamento dei dati personali. Ciò vuol dire che egli deve agire nel rispetto e nell'applicazione di tutte le norme in materia di protezione dei dati, non dimenticando che si tratta per la maggior parte di minori.
Vediamo quali sono le indicazioni in merito fornite dal Garante della privacy e i principali riferimenti normativi per il Dirigente Scolastico.
Dalla Costituzione al GDPR: i riferimenti normativi della privacy a scuola
Fra i diritti riconosciuti dall'articolo 2 della Costituzione italiana rientra anche il diritto alla riservatezza, o diritto alla privacy. Andando più nello specifico, però, la principale norma di riferimento in materia è costituita dal D.Lgs. n. 196/2003, il Codice in materia di protezione dei dati personali. Il decreto legislativo, che ha superato la precedente legge del 1996, stabilisce che il trattamento dei dati personali debba svolgersi nel rispetto della dignità dell'individuo e delle sue libertà fondamentali.
A suo volta, il codice del 2003 è stato integrato dal D.Lgs. n. 101/2018 recante Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, che abroga la direttiva 05/46/CE.
Si tratta del Regolamento Generale sulla Protezione dei Dati o General Data Protection Regulation, conosciuto come GDPR.
Le novità previste dal GDPR e il concetto di dati personali di un individuo
Entrando nello specifico del Regolamento UE n. 679/2016, il GDPR introduce diverse novità anche per quanto riguarda il contesto scolastico. Come dicevamo in introduzione, infatti, le istituzioni trattano molti dati personali di studenti e personale. Pertanto, il Dirigente Scolastico deve assicurare un trattamento responsabile e attento di questi dati, che peraltro riguardano soprattutto individui minorenni.
Nel GDPR si dà una definizione di dati personali di un individuo, ossia
"qualunque informazione relativa a un individuo, collegata alla sua vita sia privata, sia professionale che pubblica […] come nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di computer". A proposito del giusto trattamento dei dati personali, il GDPR introduce le seguenti novità:
- concetto di responsabilizzazione del titolare del trattamento;
- importi più elevati per le sanzioni amministrative, in relazione alle disposizioni violate;
- concetto di privacy by design e privacy by default, rispettivamente incorporazione nel progetto della tutela della riservatezza e trattamento dei dati necessari e sufficienti alla pratica da svolgere;
- concetto di data breach, cioè una violazione della sicurezza che comporta distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai dati personali trasmessi;
- nomina obbligatoria di un responsabile della protezione dei dati;
- regole più chiare su informativa e consenso al trattamento dei dati;
- ampliamento dei diritti dell'interessato;
- criteri più rigorosi per il trasferimento dei dati personali fuori dall'Unione Europea.
Maggiore attenzione va in ogni caso prestata al trattamento dei dati sensibili della persona. Si tratta di dati personali che riguardano origine etnica, convinzioni religiose e filosofiche, opinioni politiche e adesione a partiti, sindacati o altre associazioni di carattere religioso, filosofico, politico o sindacale. Rientrano nei dati sensibili, inoltre, anche i dati che possono rivelare lo stato di salute, la vita sessuale, le condanne penali o i reati commessi.
GDPR a scuola: applicazione e aree di trattamento dati più comuni
La principale area di applicazione del trattamento dei dati personali riguarda la didattica. Attraverso il fascicolo personale vengono trattati i dati degli studenti, così come mediante i registri di iscrizione, le tasse scolastiche, i certificati e i diplomi.
Il trattamento dei dati personali dei docenti e del personale ATA avviene nell'area del personale. Si tratta, nello specifico, di dati personali e dei familiari, relativi al servizio prestato e alle assenze, al curriculum degli studi e all'aggiornamento, nonché ai procedimenti disciplinari.
Secondo quanto stabilito dal GDPR, un'istituzione scolastica può trattare qualsiasi dato purché:
- in modo lecito, corretto e trasparente;
- raccolto per un determinato fine e in modo esplicito (non è possibile utilizzare dati per scopi diversi da quello iniziale, con l'eccezione della ricerca scientifica, storici o per fini statistici);
- in modo adeguato, pertinente e minimizzato al necessario;
- esatto, aggiornato costantemente e - se inesatto - cancellato;
- conservato limitatamente al tempo necessario per le finalità per cui è raccolto.
Trattamento dei dati personali a scuola: le aree a rischio
Nel caso specifico della scuola, il Garante della Privacy ha pubblicato alcune linee guida riguardanti il corretto trattamento dei dati personali e le aree più a rischio in relazione alla riservatezza. Queste ultime sono:
- voti ed esami;
- circolari e comunicazioni;
- cellulari e tablet;
- recite e gite scolastiche;
- questionari per attività di ricerca;
- graduatorie del personale e supplenze.
Voti ed esami
Non è possibile pubblicare online gli esiti degli scrutini, dal momento che si tratta di una forma di diffusione dei dati, non conforme al GDPR. I voti rimarrebbero in rete e potrebbero anche essere utilizzati da soggetti estranei alla scuola. Si possono rendere disponibili gli esiti degli scrutini, con la sola indicazione di studente ammesso o non ammesso, nell'area riservata del registro elettronico alla quale soltanto gli studenti della stessa classe possono accedere.
Per quanto invece riguarda le singole discipline, i dati sui voti vanno riportati nell'area riservata del registro elettronico con accesso concesso esclusivamente allo studente o alla famiglia. Nel caso la scuola non utilizzi il registro elettronico, si possono affiggere i voti in un tabellone, ma senza fornire altri dati sugli studenti.
Circolari e comunicazioni
Non si possono inserire dati personali che permettano l'identificazione di alunni coinvolti in particolari situazioni nelle circolari o nelle comunicazioni scolastiche. Non è possibile inoltre fare riferimento a dati sulla salute né pubblicare sul sito della scuola elenchi relativi alla composizione delle classi
Cellulari e tablet
Pur spettante all'autonomia scolastica la decisione sull'uso di cellulari e altri strumenti elettronici in aula, esso è consentito solo per fini strettamente personali. Non è possibile diffondere immagini, video o foto sul web a meno che non si abbia il consenso delle persone riprese. Può essere destinatario di sanzioni disciplinari e pecuniarie (o anche reati) lo studente che diffonde filmati o foto che ledono la dignità della persona.
Le medesime cautele vanno previste anche per i tablet, ricordando che non è consentito registrare video della lezione in cui si manifestano le dinamiche di classe.
Recite e gite scolastiche
Video e foto raccolti dai genitori durante recite, gite o saggi scolastici non violano la privacy, in quanto raccolte a fini personali e destinati all'ambito familiare o amicale. La pubblicazione sui social network o in generale in rete è possibile se si è ottenuto il consenso delle persone presenti.
Questionari per attività di ricerca
Si possono raccogliere dati personali per attività di ricerca, mediante questionari da sottoporre agli studenti. Gli studenti maggiorenni e i genitori degli studenti minorenni vanno informati su:
- scopi della ricerca;
- modalità di trattamento;
- misure di sicurezza adottate.
Graduatorie del personale e supplenze
La pubblicazione sul proprio sito istituzionale delle graduatorie del personale scolastico è consentita, indicando però soltanto i dati strettamente necessari. Vanno bene nome, cognome, punteggio e posizione in graduatoria, ma è vietato riportare numeri di telefono o indirizzi.
Informative sulla raccolta e il trattamento dei dati personali a scuola
Le scuole hanno il dovere di vigilare costantemente sulle situazioni che riguardano i dati personali e il loro trattamento. Inoltre, devono rendere noto mediante adeguata informativa quali dati vengono raccolti e come vengono utilizzati, specificando anche il fine.
Le famiglie, gli studenti e il personale hanno il diritto di conoscere quali informazioni sono trattate dall'istituto scolastico ed eventualmente richiedere una rettifica.
Per maggiori informazioni, rimandiamo qui a La scuola a prova di privacy, le linee guida in merito di trattamento dei dati personali e tutela della riservatezza elaborate dal Garante della privacy.