Oggetto: FAQ – Linee guida in materia di conservazione delle password
Si rende noto che il Garante per la Protezione dei Dati Personali (GPDP), nel far seguito alla diffusione delle Linee Guida in tema di conservazione delle password, ha pubblicato le relative FAQ al fine di dare risposta ai quesiti più frequenti sulle misure tecniche e organizzative attualmente ritenute più efficaci per l’archiviazione, la conservazione e l’utilizzo delle password.
Il documento è disponibile nel sito dell’Autorità al seguente link:
Parere su quattordici schemi standard di pubblicazione predisposti da ANAC – riguardanti gli artt. 4-bis, 12, 13, 19, 20, 23, 26, 27, 29, 31, 32, 35, 36, 39 e 42 del d. lgs. n. 33/2013 – ai sensi dell’art. 48, commi 1 e 3, del d. lgs. n. 33/2013 – 22 febbraio 2024 Registro dei provvedimenti n. 92 del 22 febbraio 2024
Ministero dell’Istruzione e del Merito Dipartimento per le risorse umane, finanziarie e strumentali Direzione Generale per i Sistemi Informativi e la Statistica Ufficio 3
Ai Dirigenti Scolastici, ai Direttori dei Servizi Generali e Amministrativi e agli Assistenti Amministrativi delle Istituzioni Scolastiche di ogni ordine e grado
Oggetto: Avvio del corso di formazione: AGGIORNAMENTI IN TEMA DI SICUREZZA E PRIVACY. Percorso di aggiornamento tra profili di protezione dei dati personali e sicurezza informatica nella vigente normativa nazionale ed europea.
di Carmelo Salvatore BENFANTE PICOGNA, Dario Angelo TUMMINELLI, Zaira MATERA
Con l’evolversi delle nuove tecnologie della comunicazione (TIC) nell’odierna “società liquida” impregnata dalla rapida espansione dei mezzi di comunicazione di massa, i pubblici dipendenti (insegnanti compresi) sono sempre più frequentemente esposti a potenziali rischi di natura disciplinare e penale.
In particolare, in ambito scolastico, i “social network” (Facebook, Instagram, Tit-tok,Twitter, canale YouTube, WhatsApp, Telegram etc.), hanno contribuito sensibilmente e in modo esponenziale, con il loro uso improprio (o, comunque, distorto), a spargere addebiti a carico del personale scolastico con successive e consequenziali irrogazioni di sanzioni disciplinari, per inosservanza dei propri doveri d’ufficio e/o nei casi più gravi, fino a provvedimenti espulsivi quali il licenziamento per giusta causa.
Questa non piena “coscienza” dei rischi e la non perfetta conoscenza della norma ha generato, talvolta, tra il personale scolastico un uso improprio dei social.
Può accadere che il postare sui social un proprio commento (convinzione o parere) inopportuno, sconveniente, se non addirittura denigratorio o comunque lesivo, il cui contenuto possa in qualche modo nuocere all’immagine e al decoro dell’Amministrazione a cui appartiene (a tutti i livelli), possa essere erroneamente scambiato per il sacrosanto diritto di critica e di manifestazione del libero pensiero, invocato dai più a seguito dei conseguenti provvedimenti restrittivi (di censura) a carattere sanzionatorio.
Il diritto di critica e di manifestazione del libero pensiero risiedono nella Carta costituzionale del 1948, nello specifico nell’art. 21, il quale statuisce che: “Tutti hanno diritto di manifestare liberamente il proprio pensiero con la parola, lo scritto e ogni altro mezzo di diffusione”, mentre il comma 2 dello stesso articolo prosegue aggiungendo che: “La stampa non può essere soggetta ad autorizzazioni o censure” naturalmente, a patto che, le stesse pubblicazioni (cartacee e digitali) e tutte le altre forme libere di espressione (manifestazioni di pensiero e diritto di critica) non siano contrarie al buon costume o non offendano altre persone o soggetti di diritto.
Tali principi, si noti bene, di rango costituzionale, sono stati pienamente recepiti e traslati nell’art. 1 della Legge 20 maggio 1970, n. 300 “Norme sulla tutela della libertà e dignità dei lavoratori, della libertà sindacale e dell’attività sindacale, nei luoghi di lavoro e norme sul collocamento” pubblicato in Gazzetta Ufficiale Serie Generale n. 131 del 27 maggio 1970, semplicemente nota ai più come “Statuto dei lavoratori”.
Per completezza della trattazione si riporta integralmente il citato articolo 1: “I lavoratori, senza distinzione di opinioni politiche, sindacali e di fede religiosa, hanno diritto, nei luoghi dove prestano la loro opera, di manifestare liberamente il proprio pensiero, nel rispetto dei principi della Costituzione e delle norme della presente legge”.
Fatta questa premessa ci addentriamo nell’argomento oggetto di questo studio.
Con il decreto del Presidente della Repubblica 13 giugno 2023, n. 81 “Regolamento concernente modifiche al decreto del Presidente della Repubblica 16 aprile 2013, n. 62” recentemente pubblicato in Gazzetta Ufficiale Serie generale n. 150 del 9 giugno 2023 si sono, infatti, apportate delle importanti e innovative modifiche al testo originale del decreto del Presidente della Repubblica 16 aprile 2013, n. 62 comunemente noto come “Codice di condotta” o ancora come “Codice di comportamento dei dipendenti pubblici” a norma dell’articolo 54 del Decreto Legislativo 30 marzo 2001, n. 165, introducendo una serie di articoli (nello specifico 11-bis e 11-ter) che analizzeremo a breve approfonditamente e nel dettaglio (v. infra).
Come previsto dal comma 3 dell’art. 11-bis (da poco introdotto), rubricato in “Utilizzo delle tecnologie informatiche” statuisce che: “il dipendente è responsabile del contenuto dei messaggi inviati” dai loro account istituzionali (caselle di posta elettroniche) e/o personali e similarmente diffusi o pubblicati nelle bacheche virtuali delle piattaforme informatiche e/o digitali.
A regolamentare nel dettaglio l’uso dei mezzi di informazione e dei social media è l’articolo 11-ter del sopracitato decreto. L’articolo in parola, composto da soli cinque commi, sensibilizza ulteriormente il personale dipendente statale, invitandolo sempre e comunque al corretto uso dei mezzi digitali, c.d. “etica pubblica” o comportamento etico, e ad ogni altra forma di prudenza e cautela nell’utilizzare i propri account personali sui “social network”, e nel contempo ad astenersi dal diffondere e pubblicare le proprie opinioni, convinzioni e pareri, o ancora i propri giudizi, il cui contenuto possa in qualche modo nuocere all’immagine e al decoro dell’Amministrazione a cui appartiene, riguardanti eventi, cose o persone (personale dirigenziale e colleghi).
Approfondimento In merito all’etica pubblica o comportamento etico, l’Amministrazione di appartenenza, come previsto espressamente l’art. 15 comma 5-bis del decreto n. 81, dovrà prevedere dei cicli formativi sui tali temi, da “svolgersi obbligatoriamente, sia a seguito di assunzione, sia in ogni caso di passaggio a ruoli o a funzioni superiori, nonché di trasferimento del personale, le cui durata e intensità sono proporzionate al grado di responsabilità”. Si evidenzia che l’etica professionale di un educatore, quale è appunto l’insegnante, non si risolve a conclusione del suo orario lavorativo o di servizio, ovvero varcando l’uscita del cancello della scuola, ma permane sempre e ovunque esso/a si trovi e con chiunque si relazioni. Il docente è, dunque, chiamato a non trascendere mai nei toni e nel linguaggio e a non usare parole e/o espressioni deplorevoli o comunque lesive, offensive o denigratorie per altrui cose e persone.
In buona sostanza, la recente disposizione normativa stabilisce che l’uso degli account istituzionali (posta elettronica) è consentito esclusivamente per finalità connesse all’attività lavorativa.
Nello specifico, infatti, il comma 2 invita il pubblico dipendente: “ […] ad astenersi da qualsiasi intervento o commento che possa nuocere al prestigio, al decoro o all’immagine dell’amministrazione di appartenenza o della pubblica amministrazione in generale” mentre il successivo comma 4 istituisce per la prima volta una “Social Media Policy”, potremmo dire una sorta di “netiquette” da introdurre a sua volta nei Codici di comportamento, all’uopo adottati dalle pubbliche Amministrazioni, individuando in tal modo le condotte passibili di procedimenti disciplinari, graduandoli adeguatamente e proporzionalmente in base alla gravità delle condotte come di seguito riportato nello tralcio: “Nei codici di cui all’articolo 1, comma 2, le amministrazioni si possono dotare di una “social media policy” per ciascuna tipologia di piattaforma digitale, al fine di adeguare alle proprie specificità le disposizioni […]. In particolare, la “social media policy” deve individuare, graduandole in base al livello gerarchico e di responsabilità del dipendente, le condotte che possono danneggiare la reputazione delle amministrazioni”.
È interessante notare che il comma 5, prevede che: “Fermi restando i casi di divieto previsti dalla legge, i dipendenti non possono divulgare o diffondere per ragioni estranee al loro rapporto di lavoro con l’amministrazione e in difformità alle disposizioni di cui al decreto legislativo 13 marzo 2013, n. 33, e alla legge 7 agosto 1990, n. 241, documenti, anche istruttori, e informazioni di cui essi abbiano la disponibilità”.
Per completezza della trattazione si evidenza che il codice di comportamento generale deve essere poi integrato con quello specifico adottato dalle singole amministrazioni.
Per tutti i dipendenti in servizio presso il Ministero dell’Istruzione (Amministrazione centrale e periferica, ivi compreso il personale con qualifica dirigenziale, con rapporto di lavoro a tempo indeterminato e determinato, a tempo pieno e a tempo parziale, nonché il personale comandato) è attualmente in vigore il Codice di comportamento allegato al Decreto Ministeriale del 26 aprile 2022, n. 105.
Il decreto in parola, a firma dell’allora Ministro Bianchi, superato il controllo di legittimità, è stato ammesso alla registrazione alla Corte dei conti, con prot. n. 1676 del 03 giugno 2022.
Come viene riportato nel sito del Ministero, la violazione degli obblighi previsti dal Codice integra comportamenti contrari ai doveri d’ufficio ed è dunque fonte di responsabilità disciplinare nonché, nei casi previsti, di responsabilità penale, civile, amministrativa o contabile.
Si dà, infine, menzione della Tabella di corrispondenza tra la violazione dei doveri e le sanzioni disciplinari vigenti, consultabile dal link:
A conclusione della presente trattazione, si dà menzione della casistica richiamando alcuni orientamenti giurisprudenziali oggetto di sanzioni disciplinari per violazione dei doveri d’ufficio per l’uso improprio dei “social media” o per dichiarazioni o espressioni lesive nei confronti dell’Amministrazione di appartenenza.
Con sentenza n. 24989 del 6 novembre 2013 la Corte di Cassazione ha definitivamente pronunciato il licenziamento disciplinare di un insegnante per aver criticato e offeso l’Istituzione scolastica d’appartenenza consigliando contestualmente, ad alcune studentesse e studenti, di iscriversi altrove palesando apertamente un pregiudizio radicato verso la gestione scolastica.
Approfondimento Con ordinanza del 12 novembre 2018 n. 28878 la Corte di Cassazione civile, sezione lavoro, ha ritenuto legittimo il licenziamento per giusta causa inflitto ad un dipendente che aveva pubblicato sui “social media” (nella fattispecie, Facebook) immagini e commenti offensivi nei confronti della società privata (azienda) in cui il dipendente prestava servizio confermando la sentenza di secondo grado emessa dalla Corte d’Appello di Torino (e, ancora prima, dal Tribunale di Alessandria). La suprema Corte di Cassazione civile, sezione lavoro, con sentenza precedente del 27 aprile 2018 n. 10280 confermava lo stesso orientamento.
È interessante, inoltre, citare l’ordinanza n. 246 del 03 marzo 2016 del Tribunale Amministrativo Regionale Lombardia, sezione III, con la quale il giudice ha ritenuto violazione dei doveri d’ufficio l’aggiunta del like o pollice in alto (ovvero c.d. “mi piace”) al commento di una notizia a sua volta pubblicata sulla bacheca di Facebook. Questa ha determinato un danno all’immagine all’Amministrazione, assumendone dunque rilevanza disciplinare.
Approfondimento La Corte EDU, sezione II, con sentenza 15 giugno 2021, ric. n. 35786/19 si è pronunciata su un noto caso avvenuto in Turchia in merito al licenziamento disciplinare di un insegnante del Ministero dell’Istruzione per aver messo e cliccato “Mi piace” su diversi articoli pubblicati sulla bacheca virtuale di Facebook da terzi. I Giudici di Strasburgo hanno ritenuto insufficienti le ragioni per il licenziamento alla docente e sproporzionate rispetto alla sanzione inflitta per violazione dell’art. 10 Cedu.
Si è invece pronunciato, in senso opposto, il Tribunale di Roma, con sentenza del 19 maggio 2020. Il Giudice adito ha sollevato una docente dalla contestazione di addebito nella quale veniva accusata di aver pubblicato su Facebook, durante il suo orario di servizio, espressioni lesive e indecorose che lasciavano intendere una cattiva gestione scolastica. Il Giudice le ha ritenute troppo generiche; diversamente il Tribunale di Alessandria, sezione lavoro, recentemente con sentenza n. 130/2021, pubblicata il 19 maggio 2021 ha confermato il licenziamento individuale per giusta causa inflitto all’insegnante dall’Ufficio Scolastico Regionale per il Piemonte (Ufficio III, Affari Giuridici, Contenzioso e Disciplinare)
Riferimenti normativi
COSTITUZIONE ITALIANA, art. 21
CODICE CIVILE, artt. 1175, 1375, 2105
LEGGE 20 maggio 1970, n. 300 “Norme sulla tutela della libertà e dignità dei lavoratori, della libertà sindacale e dell’attività sindacale, nei luoghi di lavoro e norme sul collocamento”, art. 1
LEGGE 30 marzo 1981, n. 116 “Interpretazione autentica dell’articolo 93 del decreto del Presidente della Repubblica 31 maggio 1974, n. 417, concernente norme sullo stato giuridico del personale docente, direttivo ed ispettivo della scuola materna, elementare, secondaria ed artistica dello Stato”, art. 1
DECRETO LEGISLATIVO 30 marzo 2001, n. 165 “Norme generali sull’ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche”, art. 54
DECRETO Presidente Repubblica 31 maggio 1974, n. 417, “Norme sullo stato giuridico del personale docente, direttivo ed ispettivo della scuola materna, elementare, secondaria ed artistica dello Stato”, art. 93
DECRETO del Presidente della Repubblica 16 aprile 2013, n. 62 “Regolamento recante codice di comportamento dei dipendenti pubblici, a norma dell’articolo 54 del decreto legislativo 30 marzo 2001, n. 165”
DECRETO del Presidente della Repubblica 13 giugno 2023, n. 81 “Regolamento concernente modifiche al decreto del Presidente della Repubblica 16 aprile 2013, n. 62”
DECRETO MINISTERIALE del 26 aprile 2022, n. 105
TRIBUNALE Amministrativo Regionale Lombardia sezione III, ordinanza n. 246 del 03 marzo 2016
TRIBUNALE di Roma, sentenza del 19 maggio 2020
TRIBUNALE di Alessandria, sezione Lavoro, sentenza n. 130/2021 del 19 maggio 2021
CORTE di CASSAZIONE, sentenza del 6 novembre 2013 n. 24989
CORTE di CASSAZIONE civile, sezione lavoro, ordinanza del 12 novembre 2018 n. 28878
CORTE di CASSAZIONE civile, sezione lavoro, sentenza del 27 aprile 2018 n. 10280
CORTE EDU, sezione II, sentenza 15 giugno 2021, ric. n. 35786/19
Sitografia
MINISTERO DELL’ISTRUZIONE Codice disciplinare e di condotta
Ministero dell’Istruzione e del Merito Dipartimento per le risorse umane, finanziarie e strumentali Direzione Generale per la progettazione organizzativa, l’innovazione dei processi amministrativi, la comunicazione e i contratti Ufficio III – Protezione dei dati personali del Ministero
All’Ufficio di Gabinetto SEDE Al Dipartimento per le risorse umane, finanziarie e strumentali SEDE Al Dipartimento per il sistema educativo di istruzione e di formazione SEDE Ai Direttori Generali dell’Amministrazione centrale LORO SEDI Ai Direttori Generali e ai Dirigenti titolari degli Uffici scolastici regionali LORO SEDI e, p.c., Al Computer Security Incident Response Team (CSIRT) del Ministero SEDE
OGGETTO: Obblighi di notifica in caso di violazione dei dati personali (c.d. “data breach”) – Novità introdotte dalla versione aggiornata delle Linee Guida n. 09/2022 del Comitato Europeo per la Protezione dei Dati
Ministero dell’istruzione e del merito Dipartimento per le risorse umane, finanziarie e strumentali Direzione Generale per la progettazione organizzativa, l’innovazione dei processi dell’amministrazione, la comunicazione e i contratti Ufficio III – Protezione dei dati personali del Ministero Ufficio IV – Comunicazione Istituzionale
Ai Direttori Generali e ai Dirigenti titolari degli Uffici scolastici regionali LORO SEDI Al Dipartimento Istruzione della Provincia Autonoma di TRENTO Alla Sovrintendenza Scolastica della Provincia Autonoma di BOLZANO All’Intendenza Scolastica perla Scuola in Lingua Tedesca BOLZANO All’Intendenza Scolastica per le Scuole delle Località Ladine BOLZANO Alla Regione Autonoma della Valle d’Aosta Ass. Istruzione e Cultura Direzione Personale Scolastico AOSTA e, p.c. All’Ufficio di Gabinetto SEDE Al Dipartimento per il sistema educativo di istruzione e di formazione SEDE Al Dipartimento per le risorse umane, finanziarie e strumentali SEDE
Oggetto: “La scuola a prova di privacy” – Pubblicazione versione aggiornata del Vademecum del Garante per la Protezione dei Dati Personali
Per opportuna informazione, si rende noto che il Garante per la Protezione dei Dati Personali ha pubblicato una versione aggiornata del vademecum “La scuola a prova di privacy”, che si invia in allegato e che può essere reperita anche nella pagina tematica del sito del Garante dedicata al mondo della scuola (http://www.gpdp.it/scuola). Il nuovo documento, che tiene conto delle modifiche introdotte dal Regolamento europeo in materia di protezione dei dati personali (GDPR) e che attualizza e amplia contenuti già presenti nel vademecum diffuso nel 2016, raccoglie anche i casi affrontati dal Garante con maggiore frequenza, in modo da offrire elementi di riflessione e di approfondimento per tutti coloro che interagiscono con l’ambiente scolastico. Come la precedente, questa guida non sostituisce l’attività di indirizzo e i poteri correttivi del Garante, ma intende offrire un utile strumento per orientare il mondo scolastico nello svolgimento delle attività di trattamento dei dati di competenza e per assicurare la più ampia protezione dei dati delle persone che crescono, studiano e lavorano in tale settore.
Il Responsabile della Protezione dei Dati e l’Ufficio Protezione dei Dati del Ministero
Adozione dei Piani triennali per la prevenzione della corruzione e della trasparenza per le Istituzioni scolastiche degli Uffici scolastici regionali, per il triennio 2023-2025
Ministero dell’istruzione e del merito Dipartimento per le risorse umane, finanziarie e strumentali
Agli Uffici Scolastici Regionali LORO SEDI Al Dirigente del Dipartimento Istruzione della Provincia Autonoma di Trento Al Sovrintendente Scolastico per la Provincia di Bolzano All’Intendente Scolastico per la Scuola in lingua tedesca di Bolzano All’Intendente Scolastico per la Scuola località ladine di Bolzano Al Sovrintendente agli studi della Regione Autonoma della Valle D’Aosta e p.c. Al Dipartimento per il sistema educativo di istruzione e di formazione
Oggetto: Riscontro alle richieste di supporto in merito alla valutazione di conformità al GDPR del trattamento e trasferimento extra UE di dati personali degli utenti delle Istituzioni scolastiche attraverso determinati servizi PEO e piattaforme ICT
TELEFONO AZZURRO SIGLA UN PROTOCOLLO D’INTESA CON IL GARANTE
La protezione dei minori e dell’uso sicuro di internet sono temi su cui Telefono Azzurro da sempre collabora attivamente con il Garante. L’accordo di siglato ieri rappresenta un passo ulteriore per sviluppare congiuntamente iniziative di educazione digitale e di sensibilizzazione al rispetto della vita privata e della protezione dei dati personali
Modena, 24 settembre 2022 –Fondazione S.O.S – Il Telefono Azzurro Onlus e il Garante per la Protezione dei Dati Personali hanno firmato un Protocollo d’Intesa per supportare il mondo scolastico locale e nazionale nella diffusione della cultura della protezione dei dati personali e del rispetto della vita privata. L’accordo è stato siglato in occasione dell’evento State of Privacy 2022 che si è tenuto ieri, 23 settembre 2022, a Napoli ed è stato organizzato dal Garante per celebrare i 25 anni di attività dell’istituzione.
Il Protocollo d’Intesa si pone alla base del Manifesto di Pietrarsapresentato ufficialmente sempre nella giornata di ieri e ha lo scopo di educare “i bambini al valore dei dati per renderli persone, cittadini e consumatori consapevoli”. Tra le prime azioni congiunte portate avanti da Telefono Azzurro e Garante. il supporto all’iniziativa I Love Privacy pensata per educare cinque milioni di bambini a riconoscere il valore dei propri dati e imparare a tutelarli.
Una collaborazione, quella tra Telefono Azzurro e Garante per la Protezione dei Dati Personali, che prosegue da diversi anni e che si formalizza attraverso la firma del Protocollo d’Intesa per la realizzazione di progetti di educazione digitale e di sensibilizzazione al rispetto della vita privata e della protezione dei dati personali. Le due realtà svilupperanno nel tempo forme di cooperazione comune volte a valorizzare le competenze, le esperienze e i poteri di entrambe, predisponendo e diffondendo materiale divulgativo, in grado di fornire un reale contributo al consolidamento della cultura del rispetto della persona.
Informazioni su Telefono Azzurro
Telefono Azzurro nasce nel 1987 a Bologna per poter dare una risposta concreta al “diritto all’ascolto” riconosciuto al bambino dalla Convenzione Internazionale sui Diritti dell’Infanzia firmata dalle Nazioni Unite. Da 35 anni, è punto di riferimento per bambini e adolescenti in difficoltà, in prima linea nella difesa e promozione di una cultura che rispetti e valorizzi le loro potenzialità. Al telefono, in chat e sul territorio, Telefono Azzurro è ascolto, intervento e prevenzione, e si evolve costantemente per rispondere ai nuovi bisogni di bambini e ragazzi. Oggi è anche una realtà di riferimento digital, che interagisce con bambini e ragazzi sui social e affronta con loro le tante e nuove situazioni critiche che vengono dal mondo online: prevaricazioni online, cyberbullismo, sexting e sextortion, adescamento online, violazioni della privacy, game e gambling online e furti di identità. Una vera e propria piattaforma integrata – telefono, web, social media, app, centri territoriali, gruppi locali di volontari – per rispondere all’esigenza delle nuove generazioni di essere pienamente cittadini digitali. Un approccio multi-canale per affrontare abusi e disagi, vecchi e nuovi.
Data Breach: violazioni di dati personali. Responsabilità Dirigenziali e adempimenti nelle Istituzioni scolastiche. Stato dell’Arte e ricognizione normativa.
di Dario Angelo Tumminelli, Carmelo Salvatore Benfante Picogna, Zaira Matera
La tutela dei dati personali, è un diritto che trae origini dai principi costituzionali, strettamente legati alla tutela della dignità della persona umana.
La definizione di trattamento dei dati personali è davvero molto ampia, complessa e articolare. Per trattamento si intende qualsiasi operazione applicata ai dati personali (o insieme di operazioni), compiute con o senza l’ausilio di processi automatizzati applicato a dati personali (o insiemi di dati personali), concernenti: l’identificazione, la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati.
Riferimenti normativi
In Italia la prima norma giuridica, finalizzata alla tutela dei dati personali risale al 1996, con Legge 31 dicembre 1996, n. 675 “Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali” comunemente nota al grande pubblico come “Legge sulla privacy”, pubblicata sulla Gazzetta Ufficiale n. 5 dell´8 gennaio 1997 – Suppl. Ordinario n. 3. La citata legge istitutiva una particolare autorità amministrativa indipendente, oggi conosciuta come Garante per la protezione dei dati personali o semplicemente “Garante della Privacy”. La legge fu successimene abrogata dal Decreto Legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali” pubblicato in Gazzetta Ufficiale n. 174 del 29 luglio 2003 – Suppl. Ordinario n. 123, meglio conosciuto come “Codice della Privacy”.
Il 25 maggio 2018 è entrato in vigore il Regolamento (UE) 2016/679, noto con l’acronimo GDPR “Regolamento generale sulla protezione dei dati” del Parlamento europeo e del Consiglio del 27 aprile 2016.
Approfondimento È noto che il regolamento è una fonte di diritto derivato dai Trattati comunitari ed è un atto normativo avente forza di legge di portata generale, vincolante e obbligatorio in tutti i suoi elementi contenuti, direttamente applicabile una volta pubblicato Gazzetta Ufficiale dell’Unione Europea, negli Ordinamenti degli Stati membri ai sensi dell’art. 288, par. 2 del Trattato sul funzionamento dell’UE.
Il citato Regolamento abroga la precedente Direttiva 95/46/CE, prevedendo l’applicazione di specifiche misure di protezione e sicurezza quando si effettua un trattamento di dati personali e riconosce all’interessato, determinati diritti di tutela e trasparenza.
In Italia il percorso di adeguamento al Regolamento (UE) 2016/679 GDPR, è stato avviato con una apposita Legge delega 25 ottobre 2017, n. 163 “Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea – Legge di delegazione europea 2016-2017” pubblicato in Gazzetta Ufficiale n. 259 del 06 novembre 2017.
In seguito alla delega, il Governo ha emanato il Decreto Legislativo 10 agosto 2018, n. 101 “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché’ alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati” conosciuto più semplicemente come “Decreto di adeguamento al GDPR” pubblicato in Gazzetta Ufficiale Serie Generale n. 205 del 04 settembre 2018.
Il vecchio “Codice della Privacy” dell’96 è stato dunque profondamente modificato, aggiornato e adeguato alla disciplina europea nelle sue disposizioni. Il sopracitato Decreto legislativo 101/2018 ha di fatto adeguato la normativa Italiana alla normativa Europea “armonizzandola” pienamente, anche se ad onor del vero, trattandosi di un Regolamento UE, lo si attua di fatto essendo immediatamente applicabile nell’atto della sua pubblicazione in Gazzetta.
Il “Codice della Privacy” per quasi un ventennio ha garantito il rispetto del trattamento dei dati personali, ancora oggi in vigore in Italia, limitatamente a quelle disposizioni che non contrastano o non si sovrappongono con quelle del Regolamento (UE) 2016/679 e che soprattutto, sono con esso compatibili.
Anche quest’ultimo Decreto legislativo 101/2018 ha subito ulteriori modifiche, apportate dalla Legge 27 dicembre 2019 n. 160 (Legge di bilancio triennio 2020-22), dal Decreto Legge 14 giugno 2019, n. 53, e da ultimo anche dalle indicazioni contenute dal Decreto Ministeriale del 15 marzo 2019.
Il Garante per la protezione dei dati personali, specifica autorità di controllo, ha elaborato di suo pugno e reso pubblica una versione “arricchita” e “ragionata” del testo del Regolamento GDPR, in modo da offrire all’utenza interessata, una lettura più ampia delle previsioni introdotte dalla nuova normativa. Il testo è aggiornato con rettifiche pubblicate sulla Gazzetta Ufficiale dell’Unione europea 127 del 23 maggio 2018.
In buona sostanza la normativa sulla sicurezza e protezione dei dati personali è in continua evoluzione,seguendo costantemente la rapida evoluzione tecnologica, che ha implementato in modo esponenziale la libera circolazione dei dati personali rendendo così cogente un adeguamento normativo specifico a livello europeo.
Le Istituzioni scolastiche sono certamente coinvolte nella applicazione di tutta la normativa sopra citata. Tra gli adempimenti perentori che il responsabile legale dell’Istituzioni scolastiche deve adempiere, ovvero del Dirigente scolastico, rientrano la nomina del RPD – Responsabile Protezione dei Dati, la tenuta di un apposito Registro delle attività di trattamento e la predisposizione e alcune misure specifiche, tra le quali: la formazione del personale sulle procedure di sicurezza e protezione dei dati (ad esempio uso di password e l’accesso a specifici sistemi di elaborazione e trasmissione dati). Le misure sono volte ad assicurare la sicurezza fisica e il controllo degli accessi agli edifici e alle zone in cui sono ospitate le risorse a supporto del trattamento (documenti cartacei e strumenti informatici). Il GDPR precede che i processi di gestione dell’archivio, per assicurare che i documenti cartacei contenenti dati personali utilizzati durante il trattamento siano consultati, archiviati, trasmessi, e ove previsto distrutti, nel pieno rispetto delle norme attualmente vigenti.
Le Istituzioni scolastiche acquisiscono, gestiscono e conservano, sotto la propria responsabilità, la documentazione; necessaria per lo svolgimento di tutte le attività relative alla carriera scolastica e al rapporto con gli alunni, i genitori, il personale scolastico nella quale sono presenti anche dati personali. Il modello organizzativo e di gestione della privacy nelle Istituzioni scolastiche costituisce il fondamento per la sicurezza dei dati personali trattati dalla scuola, con la definizione dei processi volti a controllare i rischi che i trattamenti pongono sui diritti e le libertà delle persone interessate l’individuazione di ruoli e responsabilità di chi ha accesso ai dati personali.
Fatta questa necessaria premessa,
esplicitati gli aspetti più generali, ci addentriamo nel merito del caso proposto ovvero sulle responsabilità del Dirigente scolastico e i relativi adempimenti che dovrà affrontare l’Istituzione scolastica in caso in cui si verifichi un “Data Breach” o semplicemente una violazione di dati personali.
Il Data Breach è dunque una violazione di sicurezza accidentale o meno, comunque in modo illecito che può comportare la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Una violazione dei dati personali può, per la sua stessa natura, compromettere la riservatezza di dati personali, l’integrità o la disponibilità.
A titolo di esempio se ne riportano alcuni casi possibili:
l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
il furto o la perdita di dispositivi informatici contenenti dati personali;
la deliberata alterazione di dati personali;
l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware, ecc.;
la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
la divulgazione non autorizzata dei dati personali.
Di seguito vengono riportate alcune parti tratte dal sito ufficiale del Garante.
Corre l’obbligo di precisare che tale pagina è in continuo e costante aggiornamento, in evoluzione della normativa specifica di settore.
Il titolare del trattamento, soggetto sia pubblico che privato, (impresa associazione, partito, professionista, ecc.) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui è venuto a conoscenza di una violazione, deve notificare la stessa al Garante a meno che sia improbabile che la violazione dei dati personali comporti un rischio effettivo per i diritti e le libertà delle persone fisiche. Stessa e identica procedura se è il responsabile del trattamento che viene a conoscenza di una eventuale violazione, egli è tenuto a informare tempestivamente il titolare in modo che possa attivarsi e notificare a sua volta al Garante. Qualora la notifica al Garante viene effettuata oltre il termine delle 72 ore, la stessa deve essere sempre accompagnata da comprovati motivi sul ritardo. Se la violazione comporta un “rischio elevato” per i diritti delle persone, il titolare deve comunicarla prontamente a tutti gli interessati, utilizzando i canali più idonei. Il titolare del trattamento, a prescindere dalla notifica al Garante, documenta tutte le violazioni dei dati personali, predisponendo un apposito registro, dove annotare tutte le violazioni. Tale documentazione consente all’Autorità di effettuare i dovuti controlli sul rispetto della normativa.
Ovviamente vanno notificate solamente le violazioni di dati personali che possono avereconcreti effetti avversi e/o significativi sugli individui, causando danni fisici, materiali o immateriali.
A titolo di esempio: furto d’identità o rischio di frode, la perdita di riservatezza dei dati personali protetti dal segreto professionale, o ancora una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo svantaggio economico o sociale.
A partire dal 1 luglio 2021, la notifica di una violazione deve essere inviata al Garante tramite un’apposita procedura telematica, resa disponibile nel portale dei servizi online dell’Autorità, e resa raggiungibile all’indirizzo: https://servizi.gpdp.it/databreach/s/, come espressamente previsto nel Provvedimento del 27 maggio 2021 consultabile dal seguente link:
Il Garante può prescrivere misure correttive (vedi art. 58, paragrafo 2, del Regolamento UE 2016/679) nel caso sia rilevata una violazione delle disposizioni del Regolamento, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione.
Si ricorda che in caso di inadempienze sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.
Con la piena applicazione del Regolamento GDPR, dal 2018 ad oggi, le notifiche prevenute di “data breach” al “Garante della Privacy” sono state ben 4.778, sia da soggetti pubblici sia privati, ed il settore maggiormente colpito è la Sanita. Secondo quanto riportato in una intervista ad Agostino Ghiglia, componente del Garante per la protezione dei dati personali “Senza dubbio il settore sanitario, messo a dura prova dalla pandemia, è stato nel corso del 2020 il bersaglio preferito di mirati attacchi informatici che, in termini numerici, sono stati 20.777 tramite malware e 2.063 attraverso ransomware, secondo l’ultimo report di Trend Micro. L’Italia, lo scorso aprile, risultava al terzo posto a livello globale per attacchi malware, dopo Stati Uniti e Giappone. Ad oggi dunque il comparto meno preparato risulta essere proprio quello sanitario che, tra l’altro, paga il prezzo di gran lunga più caro dal momento che la spesa per i data breach è notevolmente aumentata. È evidente che il comparto sanitario risulta essere quello più bersagliato a causa della quantità e qualità dei dati custoditi e che, ovviamente, hanno un notevole valore economico. Gli attacchi criminali non mirano solo a bloccare i sistemi dietro la richiesta di un riscatto, ma soprattutto a capitalizzare i dati sensibili.” Per una lettura integrale dell’intervista si rimanda al seguente link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9716650
Bibliografia
LEGGE 31 dicembre 1996, n. 675 “Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali”
DECRETO LEGISLATIVO 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali”
REGOLAMENTO (UE) 2016/679 GDPR “Regolamento generale sulla protezione dei dati”
LEGGE 25 ottobre 2017, n. 163 “Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea – Legge di delegazione europea 2016-2017”
DECRETO LEGISLATIVO 10 agosto 2018, n. 101 “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché’ alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati”
LEGGE 27 dicembre 2019 n. 160 “Bilancio di previsione dello Stato per l’anno finanziario 2020 e bilancio pluriennale per il triennio 2020-2022”
DECRETO LEGGE 14 giugno 2019, n. 53, “Disposizioni urgenti in materia di ordine e sicurezza pubblica”
DECRETO MINISTERIALE del 15 marzo 2019 “Inserimento nell’allegato A del decreto legislativo 30 giugno 2003, n. 196, delle regole deontologiche per il trattamento a fini di archiviazione nel pubblico interesse o per scopi di ricerca storica”
PROVVEDIMENTO del 27 maggio 2021 “Procedura telematica per la notifica di violazioni di dati personali (data breach)”
Ministero dell’Istruzione Dipartimento per le risorse umane, finanziarie e strumentali Dipartimento per le risorse umane, finanziarie e strumentali Direzione Generale per le risorse umane, finanziarie e i contratti – Ufficio IX
Ai Direttori generali e ai Dirigenti preposti agli Uffici scolastici regionali Loro indirizzi PEC
OGGETTO: Iniziative degli istituti scolastici e del personale docente, nell’ambito delle misure di contrasto alla diffusione del visus Sars Cov 2, volte a conoscere lo stato vaccinale degli studenti e delle rispettive famiglie.
Scuola: Garante privacy, i docenti non possono chiedere informazioni sullo stato vaccinale degli studenti Lettera al Ministero dell’istruzione per sensibilizzare gli istituti scolastici sui rischi di alcune iniziative
L’Autorità Garante per la protezione dei dati personali ha scritto al Ministero dell’istruzione affinché sensibilizzi le scuole sui rischi per la privacy derivanti da iniziative finalizzate all’acquisizione di informazioni sullo stato vaccinale degli studenti e dei rispettivi familiari. Nella lettera si richiama inoltre l’attenzione sulle possibili conseguenze per i minori, anche sul piano educativo, derivanti da simili iniziative.
In queste settimane, il Garante Privacy ha ricevuto segnalazioni e richieste di chiarimenti a proposito di specifiche domande dei docenti o comportamenti volti ad acquisire, anche indirettamente, informazioni sull’avvenuta o meno vaccinazione, sia degli studenti (nella maggior parte dei casi minori) sia dei membri delle rispettive famiglie.
L’Autorità ricorda che, secondo il quadro normativo vigente, agli istituti scolastici non è consentito conoscere lo stato vaccinale degli studenti del primo e secondo ciclo di istruzione, né a questi (a differenza degli universitari) è richiesto il possesso e l’esibizione della certificazione verde per accedere alle strutture scolastiche. Per quanto riguarda i familiari, le amministrazioni scolastiche non possono trattare informazioni relative all’avvenuta o meno vaccinazione, ma limitarsi a verificare, mediante il personale autorizzato, il mero possesso della certificazione verde all’ingresso dei locali scolastici.
A proposito della deroga dall’indossare la mascherina nelle classi in cui tutti gli studenti abbiano completato il ciclo vaccinale o posseggano un certificato di guarigione in corso di validità, il Garante ha confermato piena collaborazione al Ministero dell’istruzione per individuare misure attuative che consentano di soddisfare le esigenze sanitarie di prevenzione epidemiologica e, allo stesso tempo, assicurino il rispetto della libertà di scelta individuale e il diritto alla protezione dei dati personali.
L’Autorità ribadisce la necessità che vengano in ogni caso individuate modalità che non rendano identificabili gli studenti interessati, anche al fine di prevenire possibili effetti discriminatori per coloro che non possano o non intendano sottoporsi alla vaccinazione.
Roma, 23 settembre 2021
Nota 29 settembre 2021, AOODPPR 1072 Iniziative degli istituti scolastici e del personale docente, nell’ambito delle misure di contrasto alla diffusione del visus Sars Cov 2, volte a conoscere lo stato vaccinale degli studenti e delle rispettive famiglie
Il testo recepisce le indicazioni fornite dal Garante nell’ambito delle interlocuzioni informali e delle riunioni con i rappresentati del Ministero dell’istruzione e del Ministero della salute, al fine di assicurare il corretto adempimento degli obblighi in materia di green pass per il personale scolastico e il rispetto della disciplina di protezione dei dati personali, nonché di evitare conseguenze discriminatorie, anche indirette, nel contesto lavorativo.
In particolare, le istituzioni scolastiche, in qualità di datori di lavoro, si limiteranno a verificare – attraverso il Sistema informativo dell’istruzione-Sidi e la Piattaforma nazionale-DGC – il mero possesso della certificazione verde Covid-19 da parte del personale, trattando esclusivamente i dati necessari.
Il processo di verifica dovrà essere effettuato quotidianamente prima dell’accesso dei lavoratori in sede e dovrà riguardare solo il personale per cui è prevista l’effettiva presenza in servizio nel giorno della verifica, escludendo comunque chi è assente per specifici motivi: ad esempio, per ferie, permessi o malattia.
A seguito dell’attività di controllo del green pass, i soggetti tenuti alle verifiche potranno raccogliere solo i dati strettamente necessari all’applicazione delle misure previste in caso di mancato rispetto degli obblighi sul green pass (ad esempio assenza ingiustificata, sospensione del rapporto di lavoro e del pagamento dello stipendio).
Particolare attenzione è stata posta anche sulle misure di sicurezza da adottare. I soggetti tenuti ai controlli potranno accedere, in modo selettivo, ai soli dati del personale in servizio presso le istituzioni scolastiche di propria competenza. Per evitare eventuali abusi, le operazioni di verifica del possesso delle certificazioni Covid-19 da parte dei soggetti tenuti ai controlli saranno oggetto di registrazione in appositi log (conservati per dodici mesi), senza però conservare traccia dell’esito delle verifiche.
È inoltre previsto che la valutazione di impatto, effettuata dal Ministero della Salute, relativa ai trattamenti connessi all’emissione e alla verifica delle certificazioni verdi Covid-19, sia integrata e aggiornata tenendo conto degli specifici scenari di rischio legati ai dati sanitari del circa un milione di lavoratori della scuola, prestando particolare attenzione alle possibili conseguenze discriminatorie, anche indirette, nel contesto lavorativo.