Il Garante della privacy, attraverso delle FAQ dedicate al mondo scolastico, ha chiarito che gli istituti possono autorizzare soggetti legittimati a condurre attività di ricerca tramite questionari rivolti agli alunni, anche se questi includono richieste di informazioni personali.
Tuttavia, è indispensabile che gli studenti – e, nel caso di minori, i loro genitori o chi esercita la responsabilità genitoriale – siano stati previamente informati sulle modalità di trattamento e sulle misure di sicurezza adottate, nonché, ove previsto, abbiano acconsentito al trattamento dei dati.
È in ogni caso fondamentale che alunni e genitori mantengano sempre il diritto di rifiutare la partecipazione all’iniziativa (vedi FAQ n. 15).
Prima di autorizzare la somministrazione dei test, le scuole dovrebbero però tenere conto di un altro aspetto cruciale, ossia dei ruoli e delle responsabilità del personale scolastico e dei soggetti che conducono queste attività di ricerca.
Le recenti ammonizioni del Garante
Recentemente, con i provvedimenti n. 135 e 136 del 7 marzo 2024, un istituto comprensivo e una nota Università sono stati entrambi ammoniti dal Garante per aver somministrato dei test a studenti della scuola primaria, nell’ambito di un progetto di ricerca scientifica promosso dall’Ateneo, senza aver adeguatamente considerato e valutato gli aspetti legati alla privacy.
In particolare, sono state raccolte informazioni personali, incluse quelle relative alla vita sessuale dei giovani partecipanti (di età compresa tra i 7 e gli 8 anni), provocando disagio in alcuni di loro.
I genitori, venuti a conoscenza di tale attività invasiva, dopo aver chiesto la restituzione dei test alla dirigente della scuola (non concessa in ragione del presunto anonimato delle informazioni raccolte), hanno presentato reclamo al Garante, lamentando una violazione della disciplina in materia di protezione dei dati personali.
I due provvedimenti appena citati sono molto interessanti e contengono diversi aspetti da analizzare.
La necessità di definire ruoli e responsabilità in ambito privacy
Il primo aspetto è quello relativo ai ruoli privacy.
Durante l’istruttoria, il Garante ha rilevato che né l’Ateneo né l’istituto si erano preoccupati di definire il proprio ruolo relativo al trattamento dei dati degli studenti riguardo l’attività di ricerca.
In pratica, l’Università, in qualità di titolare del trattamento, non aveva nominato la scuola responsabile del trattamento, come previsto dall’art. 28 del GDPR.
A tal proposito, si ricorda che il responsabile del trattamento è la persona fisica o giuridica, distinta dal titolare, che elabora dati per conto di quest’ultimo e sotto il suo controllo (art. 4 del GDPR).
Il rapporto tra titolare e responsabile
Il rapporto tra titolare e responsabile, ai sensi dell’art. 28 del GDPR, va disciplinato con un contratto o altro atto giuridico che determini gli obblighi e i limiti del trattamento dei dati, tra cui la durata, le natura e le finalità, nonché il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare.
Nel caso in cui un responsabile non si riconosca tale, o violi la normativa privacy, è considerato titolare del trattamento.
L’Autorità ha evidenziato perciò che, proprio la mancanza di questa nomina a responsabile e l’assenza di ogni tipo di accordo formale tra l’Università e la scuola in ordine alla realizzazione del progetto di ricerca scientifica, hanno fatto ritenere all’istituto di agire in qualità di titolare autonomo del trattamento ai sensi dell’art. 24 del GDPR, ponendosi dunque in tale veste nei confronti degli interessati.
Ad ogni modo, per essere legittimo, qualsiasi trattamento realizzato da un titolare va svolto alla luce di specifiche condizioni di liceità.
Nel caso in esame, l’assenza della designazione della scuola quale responsabile del trattamento ha determinato l’assenza di una idonea base normativa che legittimasse la gestione dei dati presenti nei test da parte dello stesso istituto.
Pertanto, il consiglio per le scuole è quello di farsi assistere del proprio DPO nel momento in cui viene effettuata una richiesta di collaborazione da parte di enti o Università.
Qualsiasi domanda va valutata attentamente, anche dal punto di vista della privacy.
Nello specifico, devono essere analizzati i ruoli, le competenze, le finalità, le basi giuridiche, e i mezzi del trattamento.
Informativa e consenso: requisiti fondamentali per la ricerca
Il Garante ha inoltre ricordato che ogni titolare del trattamento deve fornire previamente agli interessati un’informativa sulla gestione dei dati personali, come previsto dagli artt. 12 e 13 del GDPR.
Questo documento deve essere chiaro, conciso e facilmente comprensibile, spiegando in modo dettagliato finalità e modalità del trattamento.
Il legislatore europeo, con il GDPR, ha attribuito all’informativa un ruolo di primaria importanza.
Essa infatti rappresenta un diritto per l’interessato e dovere giuridico per il titolare del trattamento.
A tutti gli utenti va dunque fornita una comunicazione indicante il modo in cui verranno gestiti, conservati e protetti i dati personali.
È importante sottolineare come ciò vada fatto sin dal momento della raccolta delle informazioni.
L’obbligo di mettere a disposizione un’informativa ha lo scopo di notificare la presenza di un trattamento, e di trasmettere all’utente le nozioni indispensabili affinché sia consapevole di come verranno gestiti i dati.
A tal proposito, il GDPR afferma che un trattamento può definirsi corretto e trasparente solo nel caso in cui l’interessato venga informato dell’esistenza dello stesso e delle relative finalità.
Come redigere correttamente un’informativa
Il Regolamento indica inoltre in maniera dettagliata come redigere correttamente un’informativa.
Le informazioni relative alla gestione dei dati devono essere fornite “per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici” (ad esempio, se destinate al pubblico, attraverso il sito web), salvo diversa richiesta di riceverle “oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato” (art. 12 Reg. Ue 2016/679).
Il considerando 60 prevede anche che il titolare del trattamento debba “fornire all’interessato eventuali ulteriori informazioni necessarie ad assicurare un trattamento corretto e trasparente, tenendo in considerazione le circostanze e il contesto specifico in cui i dati personali sono trattati”.
L’informativa, oltre ad essere obbligatoria, è anche essenziale quando il trattamento si basa sul consenso dell’interessato.
Secondo il GDPR il consenso deve essere libero, specifico, informato, e inequivocabile, e va chiesto in maniera chiara e comprensibile.
Nel caso in esame, l’Ateneo, attraverso i docenti della scuola, aveva distribuito una richiesta di autorizzazione ai genitori.
Il modulo predisposto richiedeva il consenso affinché i figli partecipassero alla ricerca condotta, e autorizzava i componenti del team dell’Università a utilizzare i materiali a fini statistici e/o per eventuali pubblicazioni, fermo restando il diritto alla tutela dell’identità del partecipante, al fine di salvaguardare il principio dell’adesione volontaria alla ricerca.
Il consenso, tuttavia, veniva chiesto senza fornire una completa informativa, in quanto gli interessati non erano stati informati relativamente all’individuazione del titolare del trattamento, ai tipi di dati trattati, ai tempi di conservazione delle informazioni, all’esercizio dei diritti, e alla chiara rappresentazione dello scopo del trattamento.
Il Garante ha quindi evidenziato che l’Università non aveva informato adeguatamente gli interessati, e che inoltre non disponeva di un’idonea condizione di liceità per lo svolgimento dei trattamenti, poiché non aveva previamente acquisito dagli esercenti la responsabilità genitoriale degli alunni un consenso al trattamento dei dati effettivamente libero, informato e specifico ai sensi della normativa applicabile.
D’altro canto, le famiglie, non appena hanno avuto modo di comprendere meglio alcuni rilevanti aspetti del progetto di ricerca, hanno deciso di revocare la loro adesione.
Dato anonimo e dato pseudonimizzato: chiarimenti del Garante
Infine, prima di concludere, è opportuno riportare la definizione di “dato anonimo” fornita dal Garante nei provvedimenti esaminati.
Un dato è considerato anonimo solo se “non consente l’identificazione diretta o indiretta di una persona tenuto conto di tutti i mezzi ragionevoli (economici, informazioni, risorse tecnologiche, competenze, tempo) nella disponibilità di chi (titolare o altro soggetto) provi a utilizzare tali mezzi per identificare un interessato”.
È importante sottolineare che ai dati anonimi non si applica la normativa sulla protezione dei dati personali.
Il Garante ricorda inoltre che, affinché un processo di anonimizzazione sia efficace, deve impedire la possibilità di:
- isolare una persona in un gruppo (single-out);
- collegare un dato anonimizzato a dati riferibili a una persona presente in un distinto insieme di dati (linkability);
- dedurre nuove informazioni riferibili a una persona da un dato anonimizzato (inference).
La non identificabilità degli interessati va pertanto correlata all’assenza di univocità all’interno della banca dati considerata, e non semplicemente alla non intelligibilità dei dati identificativi.
In caso contrario, i dati non possono definirsi anonimi, ma oggetto di una qualche forma di pseudonimizzazione o codifica.
Si ricorda infine che i dati pseudonimizzati sono dati personali che non possono più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, e tali informazioni devono essere conservate separatamente, e assoggettate a misure tecniche e organizzative adeguate per garantire che non siano attribuite a una persona fisica identificata o identificabile.
I dati pseudonimizzati, quindi, continuano ad essere dati personali soggetti alla normativa privacy.
L’importanza di consultare il DPO nell collaborazioni con enti e Università
L’attività di ricerca condotta all’interno delle scuole può comportare rischi significativi in termini di protezione dei dati personali.
È quindi fondamentale che ciascun istituto consulti il proprio DPO prima di avviare qualsiasi collaborazione con enti e Università, assicurandosi che tutte le condizioni di liceità del trattamento vengano rispettate.
