Archivi tag: Privacy

Data Breach: violazioni di dati personali

Data Breach: violazioni di dati personali.
Responsabilità Dirigenziali e adempimenti nelle Istituzioni scolastiche. Stato dell’Arte e ricognizione normativa.

di Dario Angelo Tumminelli, Carmelo Salvatore Benfante Picogna, Zaira Matera

La tutela dei dati personali, è un diritto che trae origini dai principi costituzionali, strettamente legati alla tutela della dignità della persona umana.

La definizione di trattamento dei dati personali è davvero molto ampia, complessa e articolare. Per trattamento si intende qualsiasi operazione applicata ai dati personali (o insieme di operazioni), compiute con o senza l’ausilio di processi automatizzati applicato a dati personali (o insiemi di dati personali), concernenti: l’identificazione, la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati.

Riferimenti normativi

In Italia la prima norma giuridica, finalizzata alla tutela dei dati personali risale al 1996, con Legge 31 dicembre 1996, n. 675 “Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali” comunemente nota al grande pubblico come “Legge sulla privacy”, pubblicata sulla Gazzetta Ufficiale n. 5 dell´8 gennaio 1997 – Suppl. Ordinario n. 3. La citata legge istitutiva una particolare autorità amministrativa indipendente, oggi conosciuta come Garante per la protezione dei dati personali o semplicemente Garante della Privacy”. La legge fu successimene abrogata dal Decreto Legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali” pubblicato in Gazzetta Ufficiale n. 174 del 29 luglio 2003 – Suppl. Ordinario n. 123, meglio conosciuto come “Codice della Privacy”.

Il 25 maggio 2018 è entrato in vigore il Regolamento (UE) 2016/679, noto con l’acronimo GDPR “Regolamento generale sulla protezione dei dati” del Parlamento europeo e del Consiglio del 27 aprile 2016.

Approfondimento È noto che il regolamento è una fonte di diritto derivato dai Trattati comunitari ed è un atto normativo avente forza di legge di portata generale, vincolante e obbligatorio in tutti i suoi elementi contenuti, direttamente applicabile una volta pubblicato Gazzetta Ufficiale dell’Unione Europea, negli Ordinamenti degli Stati membri ai sensi dell’art. 288, par. 2 del Trattato sul funzionamento dell’UE.

Il citato Regolamento abroga la precedente Direttiva 95/46/CE, prevedendo l’applicazione di specifiche misure di protezione e sicurezza quando si effettua un trattamento di dati personali e riconosce all’interessato, determinati diritti di tutela e trasparenza.

In Italia il percorso di adeguamento al Regolamento (UE) 2016/679 GDPR, è stato avviato con una apposita Legge delega 25 ottobre 2017, n. 163 “Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea – Legge di delegazione europea 2016-2017” pubblicato in Gazzetta Ufficiale n. 259 del 06 novembre 2017.

In seguito alla delega, il Governo ha emanato il Decreto Legislativo 10 agosto 2018, n. 101 “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché’ alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati” conosciuto più semplicemente come “Decreto di adeguamento al GDPR” pubblicato in Gazzetta Ufficiale Serie Generale n. 205 del 04 settembre 2018.

Il vecchio “Codice della Privacy” dell’96 è stato dunque profondamente modificato, aggiornato e adeguato alla disciplina europea nelle sue disposizioni. Il sopracitato Decreto legislativo 101/2018 ha di fatto adeguato la normativa Italiana alla normativa Europea “armonizzandola” pienamente, anche se ad onor del vero, trattandosi di un Regolamento UE, lo si attua di fatto essendo immediatamente applicabile nell’atto della sua pubblicazione in Gazzetta.

Il “Codice della Privacy” per quasi un ventennio ha garantito il rispetto del trattamento dei dati personali, ancora oggi in vigore in Italia, limitatamente a quelle disposizioni che non contrastano o non si sovrappongono con quelle del Regolamento (UE) 2016/679 e che soprattutto, sono con esso compatibili.

Anche quest’ultimo Decreto legislativo 101/2018 ha subito ulteriori modifiche, apportate dalla Legge 27 dicembre 2019 n. 160 (Legge di bilancio triennio 2020-22), dal Decreto Legge 14 giugno 2019, n. 53, e da ultimo anche dalle indicazioni contenute dal Decreto Ministeriale del 15 marzo 2019.

Il Garante per la protezione dei dati personali, specifica autorità di controllo, ha elaborato di suo pugno e reso pubblica una versione “arricchita” e “ragionata” del testo del Regolamento GDPR, in modo da offrire all’utenza interessata, una lettura più ampia delle previsioni introdotte dalla nuova normativa. Il testo è aggiornato con rettifiche pubblicate sulla Gazzetta Ufficiale dell’Unione europea 127 del 23 maggio 2018.

In buona sostanza la normativa sulla sicurezza e protezione dei dati personali è in continua evoluzione,seguendo costantemente la rapida evoluzione tecnologica, che ha implementato in modo esponenziale la libera circolazione dei dati personali rendendo così cogente un adeguamento normativo specifico a livello europeo.

Le Istituzioni scolastiche sono certamente coinvolte nella applicazione di tutta la normativa sopra citata. Tra gli adempimenti perentori che il responsabile legale dell’Istituzioni scolastiche deve adempiere, ovvero del Dirigente scolastico, rientrano la nomina del RPD – Responsabile Protezione dei Dati, la tenuta di un apposito Registro delle attività di trattamento e la predisposizione e alcune misure specifiche, tra le quali: la formazione del personale sulle procedure di sicurezza e protezione dei dati (ad esempio uso di password e l’accesso a specifici sistemi di elaborazione e trasmissione dati). Le misure sono volte ad assicurare la sicurezza fisica e il controllo degli accessi agli edifici e alle zone in cui sono ospitate le risorse a supporto del trattamento (documenti cartacei e strumenti informatici). Il GDPR precede che i processi di gestione dell’archivio, per assicurare che i documenti cartacei contenenti dati personali utilizzati durante il trattamento siano consultati, archiviati, trasmessi, e ove previsto distrutti, nel pieno rispetto delle norme attualmente vigenti.

Le Istituzioni scolastiche acquisiscono, gestiscono e conservano, sotto la propria responsabilità, la documentazione; necessaria per lo svolgimento di tutte le attività relative alla carriera scolastica e al rapporto con gli alunni, i genitori, il personale scolastico nella quale sono presenti anche dati personali. Il modello organizzativo e di gestione della privacy nelle Istituzioni scolastiche costituisce il fondamento per la sicurezza dei dati personali trattati dalla scuola, con la definizione dei processi volti a controllare i rischi che i trattamenti pongono sui diritti e le libertà delle persone interessate l’individuazione di ruoli e responsabilità di chi ha accesso ai dati personali.

Fatta questa necessaria premessa,

esplicitati gli aspetti più generali, ci addentriamo nel merito del caso proposto ovvero sulle responsabilità del Dirigente scolastico e i relativi adempimenti che dovrà affrontare l’Istituzione scolastica in caso in cui si verifichi un “Data Breach” o semplicemente una violazione di dati personali.

Il Data Breach è dunque una violazione di sicurezza accidentale o meno, comunque in modo illecito che può comportare la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Una violazione dei dati personali può, per la sua stessa natura, compromettere la riservatezza di dati personali, l’integrità o la disponibilità.

A titolo di esempio se ne riportano alcuni casi possibili:

  • l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
  • il furto o la perdita di dispositivi informatici contenenti dati personali;
  • la deliberata alterazione di dati personali;
  • l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;
  • la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
  • la divulgazione non autorizzata dei dati personali.

Il “Garante della Privacy” ha fornito delle utili indicazioni in caso di accertata violazione, facilmente consultabile e reperibili sul sito dal link: https://www.garanteprivacy.it/regolamentoue/databreach

Di seguito vengono riportate alcune parti tratte dal sito ufficiale del Garante.

Corre l’obbligo di precisare che tale pagina è in continuo e costante aggiornamento, in evoluzione della normativa specifica di settore.

Il titolare del trattamento, soggetto sia pubblico che privato, (impresa associazione, partito, professionista, ecc.) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui è venuto a conoscenza di una violazione, deve notificare la stessa al Garante a meno che sia improbabile che la violazione dei dati personali comporti un rischio effettivo per i diritti e le libertà delle persone fisiche. Stessa e identica procedura se è il responsabile del trattamento che viene a conoscenza di una eventuale violazione, egli è tenuto a informare tempestivamente il titolare in modo che possa attivarsi e notificare a sua volta al Garante. Qualora la notifica al Garante viene effettuata oltre il termine delle 72 ore, la stessa deve essere sempre accompagnata da comprovati motivi sul ritardo. Se la violazione comporta un “rischio elevato” per i diritti delle persone, il titolare deve comunicarla prontamente a tutti gli interessati, utilizzando i canali più idonei. Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, predisponendo un apposito registro, dove annotare tutte le violazioni. Tale documentazione consente all’Autorità di effettuare i dovuti controlli sul rispetto della normativa.

Ovviamente vanno notificate solamente le violazioni di dati personali che possono avereconcreti effetti avversi e/o significativi sugli individui, causando danni fisici, materiali o immateriali. 

A titolo di esempio: furto d’identità o rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, o ancora una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale.

A partire dal 1 luglio 2021, la notifica di una violazione deve essere inviata al Garante tramite un’apposita procedura telematica, resa disponibile nel portale dei servizi online dell’Autorità, e resa raggiungibile all’indirizzo: https://servizi.gpdp.it/databreach/s/, come espressamente previsto nel Provvedimento del 27 maggio 2021 consultabile dal seguente link:

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9667201

Il Garante può prescrivere misure correttive (vedi art. 58, paragrafo 2, del Regolamento UE 2016/679) nel caso sia rilevata una violazione delle disposizioni del Regolamento, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione.

Si ricorda che in caso di inadempienze sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale. 

Con la piena applicazione del Regolamento GDPR, dal 2018 ad oggi, le notifiche prevenute di “data breach” al “Garante della Privacy” sono state ben 4.778, sia da soggetti pubblici sia privati, ed il settore maggiormente colpito è la Sanita. Secondo quanto riportato in una intervista ad Agostino Ghiglia, componente del Garante per la protezione dei dati personali “Senza dubbio il settore sanitario, messo a dura prova dalla pandemia, è stato nel corso del 2020 il bersaglio preferito di mirati attacchi informatici che, in termini numerici, sono stati 20.777 tramite malware e 2.063 attraverso ransomware, secondo l’ultimo report di Trend Micro. L’Italia, lo scorso aprile, risultava al terzo posto a livello globale per attacchi malware, dopo Stati Uniti e Giappone. Ad oggi dunque il comparto meno preparato risulta essere proprio quello sanitario che, tra l’altro, paga il prezzo di gran lunga più caro dal momento che la spesa per i data breach è notevolmente aumentata. È evidente che il comparto sanitario risulta essere quello più bersagliato a causa della quantità e qualità dei dati custoditi e che, ovviamente, hanno un notevole valore economico. Gli attacchi criminali non mirano solo a bloccare i sistemi dietro la richiesta di un riscatto, ma soprattutto a capitalizzare i dati sensibili.” Per una lettura integrale dell’intervista si rimanda al seguente link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9716650

Bibliografia

  • LEGGE 31 dicembre 1996, n. 675 “Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali
  • DECRETO LEGISLATIVO 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali
  • REGOLAMENTO (UE) 2016/679 GDPR “Regolamento generale sulla protezione dei dati
  • LEGGE 25 ottobre 2017, n. 163 “Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea – Legge di delegazione europea 2016-2017
  • DECRETO LEGISLATIVO 10 agosto 2018, n. 101 “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché’ alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati
  • LEGGE 27 dicembre 2019 n. 160 “Bilancio di previsione dello Stato per l’anno finanziario 2020 e bilancio pluriennale per il triennio 2020-2022
  • DECRETO LEGGE 14 giugno 2019, n. 53, “Disposizioni urgenti in materia di ordine e sicurezza pubblica
  • DECRETO MINISTERIALE del 15 marzo 2019 “Inserimento nell’allegato A del decreto legislativo 30 giugno 2003, n. 196, delle regole deontologiche per il trattamento a fini di archiviazione nel pubblico interesse o per scopi di ricerca storica
  • PROVVEDIMENTO del 27 maggio 2021 “Procedura telematica per la notifica di violazioni di dati personali (data breach)

Sitografia Garante per la protezione dei dati personali https://www.garanteprivacy.it/home

Nota 3 dicembre 2021, AOODPPR 1317

Ministero dell’Istruzione
Dipartimento per le risorse umane, finanziarie e strumentali
Dipartimento per le risorse umane, finanziarie e strumentali
Direzione Generale per le risorse umane, finanziarie e i contratti – Ufficio IX

Ai Direttori generali e ai Dirigenti preposti agli Uffici scolastici regionali Loro indirizzi PEC

Oggetto: Documento di indirizzo del Garante su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico.

Nota 29 settembre 2021, AOODPPR 1072

Ministero dell’Istruzione
Dipartimento per le risorse umane, finanziarie e strumentali

Ai Direttori Generali e ai Dirigenti preposti agli Uffici Scolastici Regionali LORO EMAIL

OGGETTO: Iniziative degli istituti scolastici e del personale docente, nell’ambito delle misure di contrasto alla diffusione del visus Sars Cov 2, volte a conoscere lo stato vaccinale degli studenti e delle rispettive famiglie.

Garante privacy, Lettera al Ministero dell’istruzione

Scuola: Garante privacy, i docenti non possono chiedere informazioni sullo stato vaccinale degli studenti
Lettera al Ministero dell’istruzione per sensibilizzare gli istituti scolastici sui rischi di alcune iniziative

L’Autorità Garante per la protezione dei dati personali ha scritto al Ministero dell’istruzione affinché sensibilizzi le scuole sui rischi per la privacy derivanti da iniziative finalizzate all’acquisizione di informazioni sullo stato vaccinale degli studenti e dei rispettivi familiari. Nella lettera si richiama inoltre l’attenzione sulle possibili conseguenze per i minori, anche sul piano educativo, derivanti da simili iniziative.

In queste settimane, il Garante Privacy ha ricevuto segnalazioni e richieste di chiarimenti a proposito di specifiche domande dei docenti o comportamenti volti ad acquisire, anche indirettamente, informazioni sull’avvenuta o meno vaccinazione, sia degli studenti (nella maggior parte dei casi minori) sia dei membri delle rispettive famiglie.

L’Autorità ricorda che, secondo il quadro normativo vigente, agli istituti scolastici non è consentito conoscere lo stato vaccinale degli studenti del primo e secondo ciclo di istruzione, né a questi (a differenza degli universitari) è richiesto il possesso e l’esibizione della certificazione verde per accedere alle strutture scolastiche. Per quanto riguarda i familiari, le amministrazioni scolastiche non possono trattare informazioni relative all’avvenuta o meno vaccinazione, ma limitarsi a verificare, mediante il personale autorizzato, il mero possesso della certificazione verde all’ingresso dei locali scolastici.

A proposito della deroga dall’indossare la mascherina nelle classi in cui tutti gli studenti abbiano completato il ciclo vaccinale o posseggano un certificato di guarigione in corso di validità, il Garante ha confermato piena collaborazione al Ministero dell’istruzione per individuare misure attuative che consentano di soddisfare le esigenze sanitarie di prevenzione epidemiologica e, allo stesso tempo, assicurino il rispetto della libertà di scelta individuale e il diritto alla protezione dei dati personali.

L’Autorità ribadisce la necessità che vengano in ogni caso individuate modalità che non rendano identificabili gli studenti interessati, anche al fine di prevenire possibili effetti discriminatori per coloro che non possano o non intendano sottoporsi alla vaccinazione.

Roma, 23 settembre 2021


Nota 29 settembre 2021, AOODPPR 1072
Iniziative degli istituti scolastici e del personale docente, nell’ambito delle misure di contrasto alla diffusione del visus Sars Cov 2, volte a conoscere lo stato vaccinale degli studenti e delle rispettive famiglie

Garante privacy: via libera alle nuove modalità di verifica del green pass nelle scuole

Garante privacy: via libera alle nuove modalità di verifica del green pass nelle scuole

Il Garante per la protezione dei dati personali, in via d’urgenza, ha espresso parere favorevole sullo schema di decreto del Presidente del Consiglio dei ministri che introduce modalità semplificate di verifica delle certificazioni verdi del personale scolastico, alternative a quelle ordinarie che prevedono l’uso dell’App VerificaC19, che rimane comunque utilizzabile.

Il testo recepisce le indicazioni fornite dal Garante nell’ambito delle interlocuzioni informali e delle riunioni con i rappresentati del Ministero dell’istruzione e del Ministero della salute, al fine di assicurare il corretto adempimento degli obblighi in materia di green pass per il personale scolastico e il rispetto della disciplina di protezione dei dati personali, nonché di evitare conseguenze discriminatorie, anche indirette, nel contesto lavorativo.

In particolare, le istituzioni scolastiche, in qualità di datori di lavoro, si limiteranno a verificare – attraverso il Sistema informativo dell’istruzione-Sidi e la Piattaforma nazionale-DGC – il mero possesso della certificazione verde Covid-19 da parte del personale, trattando esclusivamente i dati necessari.

Il processo di verifica dovrà essere effettuato quotidianamente prima dell’accesso dei lavoratori in sede e dovrà riguardare solo il personale per cui è prevista l’effettiva presenza in servizio nel giorno della verifica, escludendo comunque chi è assente per specifici motivi: ad esempio, per ferie, permessi o malattia.

A seguito dell’attività di controllo del green pass, i soggetti tenuti alle verifiche potranno raccogliere solo i dati strettamente necessari all’applicazione delle misure previste in caso di mancato rispetto degli obblighi sul green pass (ad esempio assenza ingiustificata, sospensione del rapporto di lavoro e del pagamento dello stipendio).

Particolare attenzione è stata posta anche sulle misure di sicurezza da adottare. I soggetti tenuti ai controlli potranno accedere, in modo selettivo, ai soli dati del personale in servizio presso le istituzioni scolastiche di propria competenza. Per evitare eventuali abusi, le operazioni di verifica del possesso delle certificazioni Covid-19 da parte dei soggetti tenuti ai controlli saranno oggetto di registrazione in appositi log (conservati per dodici mesi), senza però conservare traccia dell’esito delle verifiche.

È inoltre previsto che la valutazione di impatto, effettuata dal Ministero della Salute, relativa ai trattamenti connessi all’emissione e alla verifica delle certificazioni verdi Covid-19, sia integrata e aggiornata tenendo conto degli specifici scenari di rischio legati ai dati sanitari del circa un milione di lavoratori della scuola, prestando particolare attenzione alle possibili conseguenze discriminatorie, anche indirette, nel contesto lavorativo.

Roma, 31 agosto 2021

Parere Garante Privacy 31 agosto 2021, n. 9694010

Parere sullo schema di decreto concernente Misure recanti modifiche ed integrazioni alle disposizioni attuative dell’articolo 9, comma 10, del decreto-legge 22 aprile 2021, n. 52, recante “Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell’epidemia da COVID-19” – 31 agosto 2021

Nota 20 aprile 2021, AOODPIT 594

Ministero dell’Istruzione
Dipartimento per il sistema educativo di istruzione e di formazione

Ai Direttori Generali e Dirigenti titolari degli Uffici scolastici regionali
e, p.c. All’Ufficio di Gabinetto
Al responsabile della protezione dei dati personali dott.ssa Antonietta D’Amato
al Sovrintendente Scolastico per la Scuola in lingua italiana di Bolzano
all’Intendente Scolastico per la Scuola in lingua tedesca di Bolzano
all’Intendente Scolastico per la Scuola delle località ladine di Bolzano
al Dirigente del Dipartimento Istruzione e cultura per la Provincia di Trento
al Sovrintendente Scolastico per la Regione Valle D’Aosta
Alle Organizzazioni sindacali del personale scuola e dei dirigenti scolastici

Oggetto: Comunicazione di dati personali del personale scolastico alle organizzazioni sindacali

Nota 13 gennaio 2021, AOODGPER1569

Ministero dell’Istruzione
Ufficio di Gabinetto

Alla Direzione generale per il personale scolastico dgpersonalescuola@postacert.istruzione.it
e, p.c. Al Dipartimento per il sistema educativo di istruzione e di formazione dpit@postacert.istruzione.it

Oggetto: Chiarimenti in merito alla legittimità di fornire dati personali dei dipendenti alle organizzazioni sindacali – nota del Garante per la protezione dei dati personali prot.49472 del 28/12/20.

Nota Garante Privacy 28 dicembre 2020, prot.n. 49472
Chiarimenti in merito alla legittimità di fornire dati personali dei dipendenti alle organizzazioni sindacali

Nota 3 settembre 2020, AOOGABMI11600

Ministero dell’Istruzione
Ufficio di Gabinetto
Dipartimento per le risorse umane, finanziarie e strumentali
Direzione Generale per le risorse umane, finanziarie e i contratti – Ufficio IX

Ai Direttori generali e non generali preposti agli Uffici scolastici regionali
Al Sovrintendente Scolastico per la Scuola in lingua italiana di Bolzano
All’Intendente Scolastico per la Scuola in lingua tedesca di Bolzano
All’Intendente Scolastico per la Scuola delle località ladine di Bolzano
Al Dirigente del Dipartimento Istruzione e cultura per la Provincia di Trento
Al Sovrintendente Scolastico per la Regione Valle D’Aosta
Loro indirizzi pec
e, per il loro tramite, ai Dirigenti Scolastici delle istituzioni scolastiche di ogni ordine e grado
e, per il loro tramite, ai Docenti
Loro sedi
e, p.c.
Al Capo Dipartimento per il sistema educativo di istruzione e formazione
Al Capo Dipartimento per le risorse umane, finanziarie e strumentali
Ai Direttori generali dell’Amministrazione centrale
Loro indirizzi pec
All’Autorità Garante per la protezione dei dati personali
protocollo@gpdp.it
Al Responsabile della protezione dei dati personali del Ministero dell’Istruzione
rpd@istruzione.it

Oggetto: Didattica Digitale Integrata e tutela della privacy: indicazioni generali.

A seguito dell’adozione delle Linee guida sulla Didattica digitale integrata con Decreto del Ministro dell’Istruzione n. 89 del 7 agosto u.s., a supporto delle istituzioni scolastiche, si trasmette il documento in allegato, predisposto da un Gruppo di lavoro congiunto tra Ministero dell’istruzione e l’Ufficio del Garante per la protezione dei dati personali, al fine di fornire linee di indirizzo comuni e i principi generali per l’implementazione della didattica digitale integrata, con particolare riguardo ai profili di sicurezza e protezione dei dati personali, sulla base di quanto previsto dal Regolamento (UE) 2016/679.

Si ringrazia per la consueta e fattiva collaborazione.

IL CAPO DI GABINETTO
Cons. Luigi Fiorentino

Privacy e voti: quali novità quali prospettive

Privacy e voti: quali novità quali prospettive

di Cinzia Olivieri

In merito al rapporto tra privacy e voti si è detto tanto e non si dubitava sino alla circolare ministeriale n. 9168 del 9 giugno 2020, che segue ed esplica la nota prot. 8464 del 28 maggio 2020, la quale, per effetto delle deroghe disposte in considerazione della  situazione di emergenza sanitaria, ha previsto che, in caso di amissione di alunni alla classe successiva con insufficienze, “anche i voti inferiori a sei decimi sono riportati, oltre che nei documenti di valutazione finale, nei prospetti generali da pubblicare sull’albo on line dell’istituzione scolastica”. Insomma la disposizione ha consentito la pubblicazione anche delle insufficienze sull’albo on line – in luogo della consueta cartellonistica – tra i “prospetti generali”, dunque con apparente modalità di estesa pubblicità.

Al di là delle esigenze attuali di evitare affollamenti innanzi ai manifesti cartacei, quanto meno per gli effetti di pubblicità legale il ricorso all’albo della scuola con la tradizionale affissione dei “quadri” poteva comunque considerarsi formalmente superato dalla previsione dell’art. 32, comma 1, la legge 69/2009 per la quale  “a far data dal 1 gennaio 2010 (termine poi prorogato al 2011) gli obblighi di pubblicazione di atti e provvedimenti amministrativi aventi effetto di pubblicità legale si intendono assolti con la pubblicazione sui propri siti informatici da parte delle amministrazioni e degli enti pubblici obbligati”.

Garante privacy e voti

Per quanto attiene specificamente la privacy, già  nella Newsletter del Garante 12 – 18 giugno 2000, si legge:“Continua ad essere diffusa sui mezzi d´informazione l´opinione che l´iniziativa del Ministero della pubblica istruzione di non far rendere note sui quadri esposti al pubblico le valutazioni finali analitiche a carico dei “bocciati” o dei non ammessi all´esame di maturità derivi dalla tutela della riservatezza personale o addirittura dal contenuto della legge n. 675 del 1996.

Ciò non è vero, dal momento che questa legge non prevede nulla del genere. D´altra parte una (discutibilissima in questo campo) tutela della riservatezza dello studente imporrebbe addirittura l´assenza di pubblicità su ogni esito scolastico, anche sintetico; e poi, su questa via, perché allora diffondere gli esiti degli altri studenti?

La realtà è che l´iniziativa del Ministero sembra rispondere alla diversa esigenza – giusta o sbagliata che sia – di cercare un rapporto con gli studenti in questa situazione difficile e con le loro famiglie.

Certo che la pubblicità degli esiti scolastici è invece la regola in generale: non può infatti dimenticarsi che vi sono essenziali esigenze di controllo sociale e professionale che dipendono proprio dalle conoscibilità delle valutazioni finali”.

Successivamente, in un documento del Garante del 28 agosto 2008, a proposito della  pubblicità dei voti dell´esame di stato si afferma: “In riferimento a odierne dichiarazioni riportate dalle agenzie il Garante per la protezione dei dati personali ribadisce che, come già precisato più volte, nessun provvedimento dell´Autorità ha mai impedito la pubblicità dei voti dell´esame di stato. Il regime attuale relativo alla conoscibilità degli esiti degli esami di maturità è stato stabilito dal Ministero dell´istruzione indipendentemente da ogni parere o richiesta del Garante”.

Ed ancora, nel vademecum “La scuola a prova di privacy” del 2016, antecedente all’applicazione del Regolamento UE 679/2016, decorrente dal 25 maggio 2018, a proposito di voti, scrutini, esami di Stato è scritto:I voti dei compiti in classe e delle interrogazioni, gli esiti degli scrutini o degli esami di Stato sono pubblici. Le informazioni sul rendimento scolastico sono soggette ad un regime di trasparenza e il regime della loro conoscibilità è stabilito dal Ministero dell´istruzione. E´ necessario però, nel pubblicare voti degli scrutini e degli esami nei tabelloni, che l´istituto eviti di fornire, anche indirettamente, informazioni sulle condizioni di salute degli studenti: il riferimento alle “prove differenziate” sostenute dagli studenti portatori di handicap, ad esempio, non va inserito nei tabelloni, ma deve essere indicato solamente nell´attestazione da rilasciare allo studente”.

Tanto si trova ribadito nelle FAQ del Garante.

Dunque è legittima la pubblicazione dei voti in considerazione dei principi di imparzialità e trasparenza della P.A. e del regime di conoscibilità stabilito dal Ministero con i limiti derivanti dalla possibilità di conoscenza di eventuali dati “particolari”

Art. 96 Dlgs 196/03 come modificato dal Dlgs 101/2018

Il Dlgs 30 giugno 2003, n. 196, come modificato dal Dlgs. n. 101/2018, per effetto del GDPR, ha preso in considerazione espressamente il trattamento dei dati degli studenti all’art. 96  stabilendo: “1. Al fine di agevolare l’orientamento, la formazione e l’inserimento professionale, anche all’estero, le istituzioni del sistema nazionale di istruzione, i centri di formazione professionale regionale, le scuole private non paritarie nonché le istituzioni di alta formazione artistica e coreutica e le università statali o non statali legalmente riconosciute su richiesta degli interessati, possono comunicare o diffondere, anche a privati e per via telematica, dati relativi agli esiti formativi, intermedi e finali, degli studenti e altri dati personali diversi da quelli di cui agli articoli 9 e 10 del Regolamento, pertinenti in relazione alle predette finalità e indicati nelle informazioni rese agli interessati ai sensi dell’articolo 13 del Regolamento. I dati possono essere successivamente trattati esclusivamente per le predette finalità. 2. Resta ferma la disposizione di cui all’articolo 2, comma 2, del decreto del Presidente della Repubblica 24 giugno 1998, n. 249, sulla tutela del diritto dello studente alla riservatezza. Restano altresì ferme le vigenti disposizioni in materia di pubblicazione dell’esito degli esami mediante affissione nell’albo dell’istituto e di rilascio di diplomi e certificati”.

Se il termine “affissione” appare collegato ad una pubblicità consistente appunto  nell’affiggere manifesti o cartelli è lecito domandarsi se può essere utilizzato anche virtualmente o sia necessario  il ricorso al cartaceo, seppur privo di valore di pubblicità legale; né può sottacersi la circostanza che l’ostensione del voto consente che questo oggettivamente possa continuare a circolare per un tempo sostanzialmente illimitato.

L’art. 1 del Regolamento UE 679/2016 dispone che i dati devono poter circolare liberamente, sebbene in maniera protetta a tutela dei diritti e delle libertà fondamentali delle persone fisiche.

Il controllo della PA nell’accesso civico generalizzato

D’altro canto, in attuazione dei principi di imparzialità e trasparenza della PA sono state previste ulteriori forme di accesso volte a operare quel “controllo” escluso dalla L 241/90.

Ci si riferisce in particolare all’accesso civico generalizzato del Dlgs. n. 33/2013, introdotto dal Dlgs 97/2016 all’art. 5 comma 2 e  riconosciuto a chiunque senza formalità “Allo scopo di favorire forme diffuse di controllo sul perseguimento delle funzioni istituzionali e sull’utilizzo delle risorse pubbliche e di promuovere la partecipazione al dibattito pubblico”. Pertanto qualunque cittadino “ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione” obbligatoria.

Tanto comporta che, in presenza di una istanza di accesso civico generalizzato, nella valutazione del pregiudizio concreto, si faccia riferimento ai principi generali sul trattamento  di necessità, proporzionalità, pertinenza e non eccedenza, in conformità al nuovo quadro normativo in materia di protezione dei dati introdotto dal Regolamento (UE) n. 679/2016, verificando se ed in che misura la conoscenza indiscriminata di dati risulti non necessaria o comunque sproporzionata rispetto allo scopo di trasparenza e controllo ed effettuando un “bilanciamento degli interessi” tra il diritto alla conoscibilità e quello alla protezione dei dati personali (che non significa optare per la parte più pesante ma livellare i due piatti).

In considerazione poi della duplice previsione della «privacy by design» e «privacy by default» dell’art. 25 del GDPR,  il titolare del trattamento (nella fattispecie la scuola nella persona del dirigente scolastico) è tenuto a porre in essere «misure tecniche e organizzative adeguate per garantire che siano trattati per impostazione predefinita solo i dati necessari per ogni specifica finalità del trattamento» nonché altre «quali la pseudonimizzazione, volta ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione […]». Esse impongono quindi al titolare di prevedere i rischi che possono incontrare per la tutela dei dati personali, scegliendo di conseguenza quali strumenti adottare.

La nota del 9 giugno

Ritornando alla nota del 9 giugno essa è stata introdotta dichiaratamente “Al fine di assicurare il rispetto del quadro normativo in materia di protezione dei dati – Regolamento (UE) 2016/679 e d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. n. 101/2018, Codice in materia di protezione dei dati personali”. Se ne desume che l’orientamento sia ora cambiato in considerazione del rischio collegato alla circostanza che i voti, una volta esposti, possono rimanere  in rete per un tempo indefinito (il che poteva accadere anche prima) e quindi essere “registrati, utilizzati, incrociati” da chiunque con conseguente ingiustificata violazione del diritto alla riservatezza degli studenti.

Precisa la nota “che per pubblicazione on line degli esiti degli scrutini delle classi intermedie delle scuole primarie, secondarie di primo grado e secondarie di secondo grado si intende la pubblicazione in via esclusiva nel registro elettronico”, ribadendo quindi quanto già prescritto nella disposizione di maggio.

Ma in merito alle modalità di pubblicazione è ulteriormente chiarito che “gli esiti degli scrutini con la sola indicazione per ciascun studente “ammesso” e “non ammesso” alla classe successiva, sono pubblicati, distintamente per ogni classe, nell’area documentale riservata del registro elettronico, cui accedono tutti gli studenti della classe di riferimento. Diversamente i voti in decimi, compresi quelli inferiori a sei decimi, riferiti alle singole discipline, sono riportati, oltre che nel documento di valutazione, anche nell’area riservata del registro elettronico a cui può accedere il singolo studente mediante le proprie credenziali personali”.

Dunque si evince che la classe potrà leggere soltanto il giudizio di ammissione o non ammissione mentre l’accesso ai propri voti resta limitato a ciascuno studente con proprie credenziali.

La stessa nota raccomanda i dirigenti di predisporre uno specifico “disclaimer” con esclusione di responsabilità in caso di divulgazione del dato. A tal proposito è singolare come invece la normativa in tema di accesso civico preveda in generale la riutilizzabilità del dato (artt. 7 e 7 bis)

La pubblicazione all’albo cartaceo è consentita in via del tutto eccezionale e residuale nei casi di mancanza di registro elettronico “con la sola indicazione di ammissione/non ammissione alla classe successiva”.

Infine, fermo il rispetto dei noti principi di riservatezza, per evitare gli assembramenti in tal caso è prevista una calendarizzazione degli accessi ed un tempo massimo di pubblicazione non eccedente i 15 giorni.

Ebbene non si tratta di una norma derogatoria in considerazione di circostanze eccezionali ma di un cambiamento di orientamento dinanzi ad un impianto normativo allo stato invariato o comunque non significativamente modificato.

Che ne è della trasparenza (e imparzialità) della valutazione che continua ad essere richiamata nell’art. 1 del DPR 122/08 e del Dlgs 62/2017?

Considerati i principi alla base del diritto di accesso di cui al Dlgs 33/13 come modificato dal Dlgs 97/2016 non potrebbe accadere che le scuole si vedano destinatarie di numerose istanze di accesso (civico) al fine di realizzare quel controllo sull’operato in presenza di insufficienze?

Il voto dunque sarà assimilato ad un dato particolare e smetterà di essere pubblico?

Questo ridurrà o implementerà il contenzioso?

Lo scopriremo solo vivendo. Ma se da un lato tanto appare motivato dall’esigenza di tutela di un dato (il voto, pregiudizievole se negativo) dall’altro il “distanziamento” scuola – famiglia appare sempre più profondo, senza tuttavia averne la reale percezione perché da casa sarà tutto più facile, comodo e protetto.

Pubblicazione voti online è invasiva

Intervento di Antonello Soro, Presidente del Garante per la protezione dei dati personali (Ansa, 11 giugno 2020)

In relazione alla questione della pubblicazione degli scrutini on line, l’Autorità garante per la protezione dei dati personali sentita dall’ANSA, chiarisce che a ”differenza delle tradizionali forme di pubblicità degli scrutini – che oltre ad avere una base normativa consentono la tutela dei dati personali dei ragazzi – la pubblicazione online dei voti costituisce una forma di diffusione di dati particolarmente invasiva, e non coerente con la più recente normativa sulla privacy”. Per questo sostanzialmente il Garante è d’accordo, con la linea del Miur di indicare l’ammissione degli studenti soltanto sul registro elettronico.

”Su questo punto – spiega il Garante – in un’ottica di collaborazione tra istituzioni, ci sono state nei giorni scorsi interlocuzioni con il Ministero della pubblica istruzione, che sono alla base della nota del 9 giugno dello stesso Ministero.

Una volta esposti, infatti, i voti rischiano di rimanere in rete per un tempo indefinito e possono essere, da chiunque, anche estraneo all’ambito scolastico, e per qualsiasi fine, registrati, utilizzati, incrociati con altri dati presenti sul web, determinando in questo modo una ingiustificata violazione del diritto alla riservatezza degli studenti, che sono in gran parte minori, con possibili ripercussioni anche sullo sviluppo della loro personalità, in particolare per quelli di loro che abbiano ricevuto giudizi negativi.

La necessaria pubblicità agli esiti scolastici – conclude il Garante – può essere peraltro realizzata, senza violare la privacy degli studenti, prevedendo la pubblicazione degli scrutini non sull’albo on line, ma, utilizzando altre piattaforme che evitino i rischi sopra evidenziati”.

Delibera ANAC 13 maggio 2020, n. 421

Richiesta di parere in merito all’applicazione del principio di rotazione ai contratti aventi ad oggetto il servizio di protezione dei dati personali (DPO).

Riferimenti normativi: Articoli 35 e 36 del decreto legislativo 18 aprile 2016 n. 50 e s.m., Regolamento UE 2016/679; Linee guida sul Responsabile dei dati personali emanate dal Garante per la protezione dei dati individuali il 13/12/2016;

Parole chiave: Principio di rotazione – Applicazione agli affidamenti di servizi di protezione di dati personali (DPO) – Sussiste.

Massima: L’affidamento dei contratti aventi ad oggetto il servizio di protezione dei dati personali di importo inferiore alle soglie comunitarie deve avvenire nel rispetto del principio di rotazione. I particolari requisiti e obiettivi di esperienza e stabilità nell’organizzazione del servizio, richiesti dalla normativa di settore, possono essere perseguiti dalla stazione appaltante, già in fase di programmazione dei fabbisogni e di progettazione del servizio da affidare, attraverso la previsione di una durata del contratto che sia congrua rispetto agli obiettivi individuati e alle prestazioni richieste al contraente.

Il Consiglio dell’Autorità Nazionale Anticorruzione
nell’adunanza del 13 maggio 2020;

VISTA la richiesta di parere dell’Associazione Data Protection Officer, acquisita al prot. Autorità n. 30246 del 23/4/2020 con cui è stato chiesto l’avviso di questa Autorità in merito alla disciplina applicabile ai contratti aventi ad oggetto servizi di protezione dei dati individuali sottoscritti ai sensi dell’articolo 37, punto 6, del Regolamento UE 2016/679, con particolare riferimento al principio di rotazione e al rinnovo dei contratti.

VISTI gli articoli 35 e 36 del decreto legislativo 18 aprile 2016, n. 50 e s.m.;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE;

VISTE le Linee guida sul Responsabile della protezione dei dati emanate dal Garante per la protezione dei dati individuali in data 13 dicembre 2016;

DELIBERA
L’affidamento all’esterno del servizio di protezione dei dati personali si configura come un appalto di servizi e come tale soggiace alle disposizioni del codice dei contratti pubblici, con conseguente obbligo di procedere alla selezione del contraente nel rispetto delle procedure ivi previste in ragione dell’importo del contratto.
Tale servizio è reso disponibile sui sistemi di e-procurement e, pertanto, ai sensi dell’articolo 26, comma 3, della legge 23/12/1999 n. 488 e dell’articolo 1 del decreto-legge 6 luglio 2012 n. 95, convertito con modificazioni nella legge 7 agosto 2012 n. 135 recante «Disposizioni urgenti per la revisione della spesa pubblica con invarianza dei servizi ai cittadini», gli affidamenti che non siano effettuati attraverso gli strumenti di acquisto messi a disposizione da Consip o dalle centrali di committenza regionali di riferimento sono affetti da nullità.
Ai sensi dell’articolo 36 del codice dei contratti pubblici, l’affidamento e l’esecuzione di lavori, servizi e forniture di importo inferiore alle soglie di cui all’articolo 35 avvengono nel rispetto dei principi di cui agli articoli 30, comma 1, 34 e 42, nonché del rispetto del principio di rotazione degli inviti e degli affidamenti e in modo da assicurare l’effettiva possibilità di partecipazione delle microimprese, piccole e medie imprese.
I paragrafi 3.6 e 3.7 delle Linee guida n. 4/2016, offrono indicazioni di dettaglio sull’applicazione del principio di rotazione, specificando che lo stesso non si applica laddove il nuovo affidamento avvenga tramite procedure ordinarie o comunque aperte al mercato, nelle quali la stazione appaltante, in virtù di regole prestabilite dal Codice dei contratti pubblici ovvero dalla stessa in caso di indagini di mercato o consultazione di elenchi, non operi alcuna limitazione in ordine al numero di operatori economici tra i quali effettuare la selezione.
Fermo restando quanto previsto al paragrafo 3.6, secondo periodo, delle citate Linee guida, il rispetto del principio di rotazione degli affidamenti e degli inviti fa sì che l’affidamento o il reinvito al contraente uscente abbiano carattere eccezionale e richiedano un onere motivazionale più stringente. Sono indicate quali ipotesi di deroga al principio in argomento circostanze attinenti alla particolare struttura del mercato e alla riscontrata effettiva assenza di alternative, che non sembrano ricorrere nel caso di specie.
Si ritiene, quindi, che le esigenze manifestate dall’istante in ordine alla necessità di garantire, nell’esecuzione del contratto, il perseguimento di requisiti e obiettivi raggiungibili soltanto a lungo termine, in conseguenza della maturazione di solida esperienza circa la specifica organizzazione della PA di riferimento e circa le peculiarità dei processi di trattamento dei dati personali, non possano essere attuati attraverso l’esclusione del principio di rotazione.
Non si ritiene percorribile, neanche l’ulteriore alternativa, prospettata dall’istante, di disporre rinnovi dei contratti in scadenza nel caso in cui la durata degli stessi non sia risultata congrua rispetto al raggiungimento degli obiettivi dell’affidamento. Su tale aspetto si ricorda, infatti, che il rinnovo del contratto deve essere previsto come opzione già nel bando di gara e che l’importo riferito al rinnovo deve essere considerato nel calcolo del valore stimato dell’appalto (articolo 35 del codice dei contratti pubblici).
Si evidenzia, altresì, che la previsione di una durata del contratto inferiore a quella considerata congrua in relazione all’oggetto dell’affidamento potrebbe configurare un frazionamento artificioso dell’appalto volto ad eludere l’applicazione delle soglie di cui all’articolo 35 del codice dei contratti pubblici.
Si ritiene, invece, che gli specifici obiettivi di esperienza e stabilità nell’organizzazione del servizio, richiesti dalla normativa di settore, possano essere legittimamente perseguiti dalla stazione appaltante, già in fase di programmazione dei fabbisogni e di progettazione del servizio da affidare, individuando una durata del contratto che sia congrua rispetto alle prestazioni richieste al contraente.

Il Presidente f.f.
Francesco Merloni
Depositato presso la Segreteria del Consiglio in data 19 maggio 2020
Per il Segretario Maria Esposito, Rosetta Greco