Il trattamento dei dati, le regole per comprendere i pronunciamenti del Garante per la Privacy

da Orizzontescuola

di Gianfranco Scialpi

Il trattamento dei dati, gli istituti scolastici sono vincolati a trattare i dati sensibili e personali, rispettando i pronunciamenti del Garante per la Privacy. Quali sono i criteri che stanno dietro ogni decisione del Garante?

Il trattamento corretto dei dati, un passaggio obbligato per le scuole

Il trattamento dei dati è un’operazione complessa che ogni Istituto scolastico è obbligato ad adempire correttamente. In questo è aiutato dai frequenti pronunciamenti del Garante per la Privacy.  L’attenzione che le scuole devono avere nel trattare i dati, deriva dalla loro natura pubblica caratterizzata dal perseguimento dello ” sviluppo armonico e integrale della persona, all’interno dei principi della Costituzione italiana e della tradizione culturale europea“. Il compito assume una particolare delicatezza se si considera che la maggior parte degli allievi e studenti è minorenne.

Detto questo chiariamo brevemente il significato di trattamento. Questo è caratterizzato da diverse fasi: raccolta, archiviazione utilizzo, consultazione, aggiornamento, cancellazione dei dati sensibili e personali. La prima tipologia di dati rimanda a una serie di informazioni circa “l’origine razziale ed etnica, le convinzioni religiose o di altra natura, le opinioni politiche, l’appartenenza a partiti, sindacati o ad associazioni, lo stato di salute e la vita sessuale”. (La scuola a prova di privacy, 2016) I dati personali invece richiamano invece “qualsiasi informazione che riguardi persone fisiche (come uno studente o un professore) identificate o che possono essere comunque identificate tramite ulteriori dati, quali un numero o un codice identificativo (ad esempio il cosiddetto “codice studente”). Sono, tra gli altri, dati personali: il nome e cognome, l’indirizzo di residenza, il codice fiscale, la fotografia di una persona o la registrazione della sua voce, l’impronta
digitale o i dati sanitari.” (La scuola a prova di privacy, 2016).

La distinzione, comunque è puramente formale. Qualunque dato è sempre riferito alla persona e quindi prende la determinazione di “personale”. Non è un caso che il Garante per la Privacy sia definito genericamente anche come l’Autorità per la protezione dei dati personali.

I criteri che “condizionano” i pronunciamenti del Garante della Privacy

Fatta questa doverosa premessa, è possibile individuare i criteri sottesi i pronunciamenti che consentono di leggere in profondità gli interventi del Garante, favorendo anche in alcuni casi decisioni locali (=Istituto scolastico) che ragionevolmente anticiperanno quelle non ancora pubblicate.

Il Garante per la Privacy, è guidato sostanzialmente da una serie di criteri, tutti confermati anche dal recente GDPR ( regolamento Europeo per la protezione dei dati personali) e ovviamente dal Decreto attuativo 101/18, nuovo “Codice per la Privacy” che ha sostituito il D.lvo 196/03.
Essi richiamano i principi di legittimità o di liceità, trasparenza, proporzionalità, adeguatezza e limite temporale (art. 5  del GDPR). Ne esistono altri ugualmente importanti (esattezza e aggiornamento,  integrità e riservatezza dei dati), ma per ragioni di sintesi non li tratteremo.

L’analisi dei criteri e alcuni esempi

Il criterio di legittimità o liceità è il fondamento di ogni pronunciamento che deve prima di tutto basarsi sulla legge. Pertanto il trattamento dei dati è consentito se persegue fini legittimi, declinati anche nelle finalità dell’istituzione pubblica. In tal senso la scuola è legittimamente autorizzata a trattare dati generali personali (nominativi, data e luogo di nascita, domicilio, recapito telefonico…) e anche alcuni più specifici come quelli inerenti allergie alimentari, patologie, perché necessari a svolgere efficacemente la sua azione di prevenzione e di intervento.
In tal senso va letto il passaggio (6 e 8) contenuto nell’aggiornamento Scuola e Privacy , imposto dall’entrata in vigore del GDPR  e pubblicato nel sito del Garante.

Le scuole possono trattare le categorie particolari di dati personali?

Le scuole possono trattare le categorie particolari di dati personali (es. dati sulle convinzioni religiose, dati sulla salute) solo se espressamente previsto da norme di legge o regolamentari….

Chi può trattare i dati degli allievi disabili o con disturbi specifici dell’apprendimento (DSA)?

La conoscenza di tali dati è limitata ai soli soggetti a ciò legittimati dalla normativa scolastica e da quella specifica di settore, come ad esempio i docenti, i genitori e gli operatori sanitari che congiuntamente devono predisporre il piano educativo individualizzato (L. n. 104/92, L. n. 328/2000 e D.Lgs. n. 66/2017)”

Il criterio della trasparenza rimanda all’impegno di esplicitare in modo chiaro e semplice i motivi per cui i dati saranno trattati (art. 12 GDPR).  Questa condizione è indispensabile per il consenso dell’interessato (se minore del genitore). La relazione tra la trasparenza e il consenso caratterizza il GDPR e il relativo decreto attuativo. La liberatoria per la pubblicazione delle foto o video sui siti scolastici o pagine social afferenti l’istituto – non necessaria se risponde alle finalità istituzionali e di documentazione della scuola- rappresenta l’esempio di una comunicazione trasparente finalizzata al consenso.

Un altro esempio è presente nell’aggiornamento “Scuola e Privacy”, documento citato sopra.

La scuola deve rendere l’informativa?

Sì. Tutte le scuole – sia quelle pubbliche, sia quelle private – hanno l’obbligo di far conoscere agli “interessati” (studenti, famiglie, professori, etc.) come vengono trattati i loro dati personali. Devono cioè rendere noto – attraverso un’adeguata informativa con le modalità ritenute più opportune, eventualmente anche online – quali dati raccolgono, come li utilizzano e a quale fine.”

Il criterio della proporzionalità  è profondamente legato al fine. La presenza di dati non deve risultare eccedente, rispetto  alla finalità di un documento o atto. La non eccedenza richiama il principio di necessità che autorizza a ricorrere ai dati essenziali per il conseguimento dello scopo. Il criterio della proporzionalità riguarda anche la dimensione temporale che non deve essere eccedente rispetto allo scopo del documento

Si legge in “Scuola e Privacy” al punto 5 e 13:

(5) Gli esiti degli scrutini o degli esami di Stato sono pubblici?

Sì. Le informazioni sul rendimento scolastico sono soggette ad un regime di conoscibilità stabilito dal MIUR. Nel pubblicare i voti degli scrutini e degli esami nei tabelloni, l’istituto scolastico deve evitare, però, di fornire informazioni sulle condizioni di salute degli studenti o altri dati personali non pertinenti. Il riferimento alle “prove differenziate” sostenute, ad esempio, dagli studenti con disturbi specifici di apprendimento (DSA) non va inserito nei tabelloni, ma deve essere indicato solamente nell’attestazione da rilasciare allo studente.

13) Gli istituti scolastici possono pubblicare sui propri siti internet le graduatorie di docenti e personale ATA?

Sì. Questo consente a chi ambisce a incarichi e supplenze di conoscere la propria posizione e il proprio punteggio. Tali liste devono però contenere solo il nome, il cognome, il punteggio e la posizione in graduatoria. È invece eccedente la pubblicazione dei numeri di telefono e degli indirizzi privati dei candidati.