In una scuola sempre più digitale, cresce anche il bisogno di privacy. Dal web ai tablet per consultare i libri, dai sistemi di messaggistica ai social media fino al registro elettronico, la tecnologia ha cambiato il modo di formare e comunicare nelle scuole, ma ha anche fatto aumentare in misura esponenziale la mole di dati personali messi in circolo.
Questo nuovo scenario di scuola digitale ha reso indispensabile stabilire delle regole per tutelare i cosiddetti soggetti interessati: istituzioni scolastiche, famiglie, studenti, docenti, personale amministrativo e tecnico.
Con questo obiettivo, il Garante per la Privacy ha pubblicato una nuova versione del documento di indirizzo “La scuola a prova di privacy”. La nuova versione aggiorna la precedente del 2016, allineandola con le regole contenute nel GDPR.
In questo articolo vediamo cosa dice il documento in termini di regole generali. In un articolo successivo vedremo alcuni casi specifici di privacy nel mondo della scuola.
Scuola e privacy: prima regola, trasparenza
Tutti gli “interessati” (studenti, famiglie, docenti, personale ATA) devono essere informati su come vengono trattati i loro dati personali. L’informativa deve essere scritta con un linguaggio comprensibile anche dai minori e deve specificare che i dati personali sono trattati solo per lo svolgimento di azioni necessarie per l’attività didattica e per assicurare il diritto all’istruzione.
Stessi obblighi per pubbliche e private
Le regole sul trattamento dei dati sono uguali sia per le scuole pubbliche che per le private. Queste ultime, semmai, hanno obblighi ulteriori nel momento in cui propongono attività extra scolastiche (corsi di musica o teatro) che prevedono il trattamento dati.
Chi è responsabile della privacy a scuola
Come è noto, in tema di dati personali coesistono quattro diverse figure, che troviamo anche nell’ambito della scuola:
› Titolare del trattamento dati: decide in merito a finalità e modalità del trattamento. In ogni scuola il Titolare del trattamento è il dirigente scolastico, in quanto legale rappresentante dell’istituto.
› Responsabile del trattamento dati: è una figura facoltativa a cui il titolare può demandare il trattamento dei dati. Solitamente nelle scuole questa funzione è svolta dal DSGA.
› Incaricato al trattamento dei dati: ogni soggetto autorizzato dal titolare o dal responsabile del trattamento a eseguire un trattamento dati. Nella pratica parliamo di docenti e personale ATA.
› Responsabile per la protezione dei dati (detto anche DPO, dall’inglese Data Protection Officer): è un consulente esperto (di solito un legale esterno) con competenze giuridiche, informatiche e gestionali. Affianca il titolare e il responsabile del trattamento dei dati nell’applicazione del GDPR e la protezione dei dati personali dei soggetti interessati.
Dati degli alunni e privacy: alcuni casi particolari
- Dati che rivelano origini razziali ed etniche: spesso desumibili anche dai nomi o dagli altri dati anagrafici, possono essere trattati dalla scuola per favorire l’integrazione degli alunni stranieri.
- Dati sulle convinzioni religiose: possono essere trattati per garantire la libertà di culto e per fruire dell’ora di religione cattolica o delle attività alternative.
- Dati sullo stato di salute: possono essere trattati per adottare specifiche misure di sostegno o strumenti di ausilio per gli alunni con disabilità, disturbi specifici di apprendimento o Bisogni Educativi Speciali (BES); per la gestione delle assenze per malattia; per l’insegnamento domiciliare e ospedaliero per alunni affetti da gravi patologie; per la partecipazione ad attività sportive, visite guidate e viaggi di istruzione; per gestire intolleranze alimentari, allergie o specifiche patologie.
- Opinioni politiche: possono essere trattate esclusivamente per garantire la costituzione e il funzionamento degli organismi di rappresentanza (consulte, associazioni di studenti e genitori).
- Dati personali relativi a condanne penali e reati: possono essere trattati per assicurare il diritto allo studio anche a soggetti detenuti o protetti, come i testimoni di giustizia.
Trattamento dati relativi ai rapporti di lavoro
Dirigenti, docenti e personale ATA sono lavoratori. In questo caso il trattamento dei dati per la gestione del rapporto di lavoro non si fonda sul consenso del lavoratore, ma sul rispetto di norme di settore. Norme che regolano, ad esempio, assunzione, obblighi di comunicazione ad autorità previdenziali o assicurative, gestione di assenze, procedimenti disciplinari e valutativi, adempimenti in materia di salute e sicurezza sul lavoro, cessazione del rapporto.
Solo in casi tassativi e con particolari cautele il datore di lavoro può trattare informazioni relative, ad esempio, alle convinzioni religiose dei lavoratori o alla loro adesione a sindacati. Come per tutti gli altri ambiti lavorativi, sono vietate indagini o trattamenti di dati personali non pertinenti all’attività lavorativa svolta.
A scuola la privacy vale anche tra colleghi
La scuola deve impedire che famiglie, studenti, operatori sociali o altri soggetti terzi vengano a conoscenza in maniera ingiustificata di informazioni personali del lavoratore, come lo stato di salute o l’assunzione a suo carico di provvedimenti disciplinari o valutativi.
La scuola deve anche evitare la circolazione di dati personali tra colleghi (se non autorizzati). Anche nel predisporre l’orario delle lezioni, tra colleghi non devono circolare informazioni sulle specifiche cause di assenza dal servizio. Soprattutto se da esse si può risalire a particolari dati personali (come permessi sindacali o dati sanitari).
Diritto di accesso ai propri dati
In caso di rapporti con una scuola (attuali o pregressi) abbiamo il diritto di sapere, rivolgendoci al dirigente, se l’istituto conserva nostri dati. Possiamo apprenderne il contenuto, farli rettificare se erronei, incompleti o non aggiornati, farli cancellare, opporci al loro trattamento.
Il genitore o l’alunno maggiorenne possono usare un apposito modello disponibile sul sito web del Garante. Se dalla scuola non si ottiene risposta, è possibile rivolgersi al Garante o alla magistratura ordinaria.
Accesso agli atti amministrativi, accesso civico e accesso civico generalizzato
L’accesso agli atti amministrativi della scuola non è regolato dal Codice privacy, ma dalla legge 241 del 1990. Secondo tale norma è la scuola che valuta se, per i soggetti con un “interesse diretto, concreto e attuale” alla conoscibilità degli atti, esistono i presupposti per prendere visione e ottenere copia di documenti amministrativi.
Anche i cosiddetti accesso civico e accesso civico generalizzato (l’ulteriore diritto di chiunque di accedere a dati e documenti delle PA) sono disciplinati dalla legge.
Cosa fare se la scuola viola la privacy
Cosa succede se la scuola pubblica sul proprio sito web i dati personali degli studenti senza che ve sia davvero la necessità? E se effettua un trattamento senza aver adeguatamente informato i titolari dei dati?
Ebbene, in questi casi siamo in presenza di violazioni della privacy e la persona direttamente interessata (studente, famiglia, docente, personale) può presentare un reclamo al Garante (o, in alternativa, all’autorità giudiziaria ordinaria). Nel reclamo bisogna indicare i fatti, le disposizioni che si presumono violate e le misure richieste, i dati del titolare o del responsabile del trattamento.
Chi, invece, pur non essendo la parte direttamente interessata, abbia conoscenza di una possibile violazione, può sollecitare un controllo del Garante.