La documentazione necessaria per gli istituti scolastici in relazione ai dati presenti sulle piattaforme di registro elettronico e suite digitali per una corretta gestione della normativa dettata dal Reg. UE 2016/679 facendo seguito agli esiti delle ispezioni effettuate dall’Autorità Garante.
L’Autorità, con provvedimento del 29/12/2023, esercitando i propri poteri di indagine, anche ai sensi dell’art. 58 Reg. UE 2016/679, nonché 157 e 158 D.Lgs. 196/2003, aveva evidenziato che, da gennaio a luglio 2024, le attività ispettive avrebbero interessato anche le istituzioni scolastiche, con specifico riferimento al trattamento di dati personali svolti attraverso le “piattaforme di registro elettronico e suite digitali”.
REGISTRO ELETTRONICO, LA DOCUMENTAZIONE NECESSARIA
Relativamente al registro elettronico, gli istituti scolastici – per una corretta gestione della normativa dettata dal Reg. UE 2016/679 – devono essere in possesso della seguente documentazione:
- Nomina del fornitore quale responsabile del trattamento, ex art. 28 del Reg. UE 2016/679;
- Documentazione relativa alle misure di sicurezza tecniche e organizzative adottate dal fornitore;
- Informativa privacy relativa al trattamento dei dati degli alunni e del personale scolastico.
NOMINA DEL FORNITORE QUALE RESPONSABILE DEL TRATTAMENTO
Il responsabile del trattamento (“data processor”) è definito all’art.4, par. 1, n.8 del GDPR, come “la persona fisica, giuridica, PA o ente che elabora i dati personali per conto del titolare del trattamento”. Il comma 3 dell’art. 28 del Reg. EU 2016/679 stabilisce che “i trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati”. E che lo stesso contratto debba contenere “gli obblighi e i diritti del titolare del trattamento”, prevedendo che il responsabile del trattamento tratti i dati personali soltanto su istruzione documentata del titolare del trattamento.
DOCUMENTAZIONE RELATIVA ALLE MISURE DI SICUREZZA TECNICHE E ORGANIZZATIVE ADOTTATE DAL FORNITORE
Il Responsabile del trattamento è tenuto a fornire “garanzie sufficienti” – citando ancora l’ex art. 28 del Reg. UE 2016/679 – con particolare riferimento alla natura, durata e finalità del trattamento o dei trattamenti assegnati, e categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento.
Le principali misure di sicurezza indicate dalla normativa:
- “la pseudonimizzazione e la cifratura dei dati personali”;
- “la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento”;
- “la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico”;
- “una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”.
INFORMATIVA PRIVACY RELATIVA AL TRATTAMENTO DEI DATI DEGLI ALUNNI E DEL PERSONALE SCOLASTICO
Gli istituti scolastici hanno l’obbligo di informare gli interessati (studenti, famiglie, personale) delle modalità con le quali vengono trattati i dati personali.
Attraverso un’adeguata informativa, le scuole devono rendere note le tipologie di dati raccolti, il loro utilizzo e la finalità.
Il regolamento pone l’accento sulla “responsabilizzazione” (accountability, nell’accezione inglese) di titolari e responsabili. Entrambi sono tenuti all’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento (cfr. artt. 23-25, in particolare, e l’intero Capo IV Reg. UE 2016/679).
SUITE DIGITALI: RESTA L’OBBLIGO DI INFORMARE GLI INTERESSATI DEL TRATTAMENTO
Per quanto riguarda le suite digitali, se impiegate quali strumenti indispensabili per lo svolgimento dell’attività, nell’ambito delle finalità istituzionali, gli istituti scolastici non hanno l’obbligo di chiedere il consenso al trattamento dei dati di studenti, genitori e docenti.
Resta però l’obbligo di informare gli interessati di tale trattamento, utilizzando un linguaggio comprensibile anche in favore dei minori, relativamente alle caratteristiche essenziali del trattamento che viene effettuato per l’erogazione della didattica digitale.
Analogamente a quanto avviene per il registro elettronico, gli istituti scolastici hanno l’obbligo di nominare detto soggetto quale “responsabile del trattamento”, nel caso in cui decidano di affidare ad un soggetto esterno l’erogazione e gestione dei servizi per la didattica digitale integrata (DDI).
I singoli istituti scolastici, per un pieno rispetto della normativa, dovrebbero effettuare anche una valutazione del rischio. Una valutazione utile a stabilire eventuali criticità connesse al trattamento effettuato, attuando le misure di sicurezza ritenute opportune (in aderenza al principio di accountability, precedentemente menzionato).
Si rende necessaria, infine, l’autorizzazione al trattamento in favore del soggetto che deve essere nominato quale amministratore della piattaforma digitale in quanto sarà colui che potrà agire, in modo diretto, sui dati personali, avendo facoltà di creare e/o cancellare eventuali account, potendo anche visualizzare gli accessi alla piattaforma.
LINK UTILI
Di seguito, alcuni link utili:
CONSULTA IL REGOLAMENTO UE 2016/679
VAI AL SITO DEL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI