Tutela della privacy nei plessi scolastici grazie al GDPR

La tutela della privacy dei minorenni nelle scuole è fondamentale

Le scuole trattano una notevole quantità di dati personali, ecco quali sono le regole che bisogna seguire per una corretta tutela della privacy dei soggetti interessati

Le scuole, ogni giorno, trattato una miriade di dati personali, riferiti in  qualche caso anche a categorie particolarmente vulnerabili (come i bambini). La tutele di queste informazioni è di primaria importanza per questo motivo il GDPR prevede uno standard più elevato per la loro protezione.

Cosa si intende per trattamento su larga scala?

Il Gruppo di lavoro “Articolo29”, organismo indipendente istituito allo scopo di fornire chiarimenti e approfondimenti sulla nuova disciplina europea sulla privacy ha stabilito che per aversi trattamento su larga scala si debba fare riferimento ad una serie di fattori:

  • il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
  • il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
  • la durata, ovvero la persistenza, dell’attività di trattamento;
  • la portata geografica dell’attività di trattamento.

Pertanto, è evidente come gli istituti scolastici rientrino tra i soggetti che trattano dati personali su larga scala.

La privacy nelle scuole e la tutela delle informazioni

Le scuole nell’ultimo anno si sono dovute confrontare dapprima con la disciplina introdotta dal Regolamento UE 679/2016 (cosiddetto GDPR) e poi successivamente dalle modifiche apportate dal D.lgs. 10 agosto 2018, n. 101 che ha novellato il vecchio Codice della Privacy.

Una prima riflessione riguarda l’approccio utilizzato dall’istituto scolastico nel trattamento dei dati personali (dalla raccolta fino alla cancellazione attraverso tutte le fasi del trattamento realizzato), rispettando in ogni passo il principio dell’accountability, secondo cui è imprescindibile compiere un’accurata analisi dei metodi di trattamento dati operati e sui processi informatici utilizzati ed in particolare sulle “misure minime” da utilizzare. In quest’ottica un ruolo fondale è rivestito dal DPO (Responsabile della protezione dei dati, Art. 37 GDPR), questa figura per gli istituti scolastici è obbligatoria per legge.

Il ruolo del Responsabile della protezione dei dati 

Secondo quanto disposto dal GDPR, art. 37, par.1, lett. A: “il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali”. Tale obbligo si estende anche alle scuole private in quanto ricomprese all’interno della categoria degli enti di diritto pubblico.

Il DPO ha come scopo principale quello di “responsabilizzare” l’amministrazione scolastica, facendo sì che il responsabile del trattamento dati adotti delle politiche adeguate al fine di garantire la corretta applicazione delle norme contenute nel GDPR ed in particolare, il responsabile della protezione dati può fornire pareri su richiesta. Inoltre, tra i compiti del DPO c’è quello di fornire chiarimenti sull’informativa e sul rilascio del consenso e fissare degli standard e delle regole da seguire.

Per il ruolo chiave che riveste questa figura è necessario che il soggetto nominato DPO sia un esperto di legislazione e di pratiche relative alla gestione e alla protezione dei dati.

Il GDPR lascia ampia discrezionalità nella scelta di questa figura può essere individuata sia all’interno (un dipendente) che all’esterno della scuola. Se il soggetto prescelto è un dipendente della scuola la designazione deve essere fatta attraverso uno specifico atto di designazione. Viceversa se, la figura del DPO venisse individuata all’esterno dell’Istituzione scolastica, si dovrà procedere alla stipula di un vero e proprio contratto.

Se interessati, potete seguire la conferenza che si terrà venerdì 24 maggio, di pomeriggio. Il convegno “Privacy, un anno di GDPR“ è totalmente gratuito. Ad organizzare l’evento è la PSB Consulting Srl, insieme a RISE Srl, PSB Srl ARES (Associazione Ricerca e Sviluppo). L’evento si terrà presso la sede di PSB Consulting Srl, in via Medina numero 5 (NA) dalle ore 15.00 alle ore 18.00.

Benedetta Greco