trattamento dati

Le ispezioni del Garante privacy nelle scuole: registro e suite digitali

Home Scuola digitale
Indirizzo copiato

Da gennaio a luglio 2024, le ispezioni del Garante privacy includono le scuole per i trattamenti dati su piattaforme di registro elettronico e suite digitali. È essenziale una preparazione accurata, coinvolgendo il responsabile della protezione dei dati (DPO) e mantenendo alta l’attenzione anche dopo luglio

Pubblicato il 24 mag 2024
Lucia Gamalero

Privacy Specialist e Responsabile GDPR Scuola

Paolo Martorana

Privacy Specialist e Responsabile GDPR Scuola

scuola stem pnrr

Con il provvedimento del 29 dicembre 2023, in ossequio ai poteri di indagine riconosciuti all’Autorità di controllo da parte dell’art. 58 del GDPR e dagli artt. 157 e 158 del D.lgs. n. 196/2003, il Garante della privacy ha reso noto che, per il periodo gennaio/luglio 2024, la sua attività ispettiva sarà indirizzata, tra gli altri soggetti, anche alle istituzioni scolastiche, relativamente ai trattamenti di dati personali svolti attraverso le “piattaforme di registro elettronico e suite digitali”.

Durante la prima metà di quest’anno, dunque, le scuole potranno essere oggetto di ispezioni disposte d’ufficio dallo stesso Garante, che si potrà avvalere anche del supporto del nucleo ispettivo della Guardia di Finanza.

Scuola e privacy: attenzione ai dati pubblicati sul registro elettronico

Onde evitare spiacevoli sorprese, è bene quindi che gli istituti si facciano trovare preparati, nell’ipotesi in cui si trovino alle prese con richieste di documentazione da parte dell’Autorità.

Alla luce di quanto annunciato dallo stesso Garante, le scuole dovranno dunque conservare ed esibire la documentazione inerente il registro elettronico ed eventuali suite digitali.

Registro elettronico

In merito al registro elettronico e al trattamento dei dati, le scuole dovrebbero possedere i seguenti documenti:

  • Nomina del fornitore quale responsabile del trattamento, ex art. 28 del GDPR
  • Documentazione relativa alle misure di sicurezza tecniche e organizzative adottate dal fornitore
  • Informativa privacy relativa al trattamento dei dati degli alunni e del personale scolastico

L’impiego del registro elettronico è, relativamente alla gestione dei dati, regolamentato da un contratto, poiché il fornitore del servizio tratta i dati di studenti, genitori, docenti, amministrativi e altro personale per conto della scuola.

Il fornitore, perciò, deve essere designato responsabile del trattamento e, in quanto tale, fornire all’istituto adeguate garanzie in ordine alle misure di sicurezza tecniche e organizzative adottate.

Solitamente, le principali aziende fornitrici del servizio di registro elettronico sono consapevoli del loro inquadramento a responsabili del trattamento e, all’atto della stipula del contratto di fornitura, consegnano già alle scuole uno specifico atto di nomina quale responsabile del trattamento, ex art. 28 del GDPR, unitamente alla documentazione di cui sopra, attestante l’adozione di adeguate misure di sicurezza volte a proteggere i dati degli interessati.

Il responsabile è quindi un soggetto esterno all’organizzazione, che svolge una o più operazioni di trattamento su richiesta o delega del titolare in modo lecito e legittimo, negli ambiti di propria competenza definiti dell’atto di nomina.

Tale designazione contiene gli obblighi e i limiti del trattamento dei dati per il responsabile, tra cui la durata, le natura e le finalità, nonché il tipo di dati personali e le categorie di interessati, e gli obblighi e i diritti del titolare.

Più genericamente, si ricorda che, prima di ricorrere a un responsabile del trattamento, le scuole devono verificare che quest’ultimo presenti garanzie sufficienti per mettere in atto opportune misure tecniche a tutela dei diritti degli interessati.

Al fine di ottenere maggiore trasparenza, è inoltre opportuno che le scuole, all’interno delle loro informative privacy relative al trattamento dei dati, specifichino a studenti, genitori e personale scolastico, con un linguaggio facilmente comprensibile anche ai minori, che i loro dati possono essere legittimamente comunicati all’azienda fornitrice del registro elettronico, e che le finalità perseguite sono limitate esclusivamente al perseguimento dei compiti istituzionali della scuola.

Suite digitali

In merito alle suite digitali e al trattamento dei dati, le scuole dovrebbero possedere i seguenti documenti:

  • Informativa privacy per le attività didattiche digitali
  • Nomina del fornitore quale responsabile del trattamento, ex art. 28 del GDPR
  • Valutazione del rischio con parere del responsabile della protezione dei dati
  • Autorizzazione al trattamento e istruzioni per l’amministratore della piattaforma
  • Regolamenti per la DDI

ll Garante della privacy ha più volte specificato, sin dai primi utilizzi dei sistemi di didattica a distanza dovuti dalla pandemia, che le scuole, nell’ambito delle proprie finalità istituzionali, non devono chiedere il consenso al trattamento dei dati di studenti, genitori e docenti, qualora impieghino strumenti indispensabili per lo svolgimento dell’attività, ma che devono informare gli interessati di tale trattamento.

Pertanto, per ragioni di trasparenza, gli istituti hanno il dovere di predisporre un’informativa privacy per le attività didattiche digitali.

Per l’inizio dell’anno scolastico 2020/2021, il Ministero dell’Istruzione aveva predisposto uno specifico documento – con la collaborazione dell’Ufficio del Garante della privacy – per fornire alle scuole linee di indirizzo comuni e principi generali per l’implementazione della DDI, con particolare riguardo agli aspetti inerenti alla sicurezza in rete e alla tutela dei dati personali.

In tale occasione, oltre che nel recente vademecum “La scuola a prova di privacy”, è stata ribadita la necessità di informare tutti gli interessati (alunni, genitori e docenti), con un linguaggio comprensibile anche ai minori, relativamente alle caratteristiche essenziali del trattamento che viene effettuato per l’erogazione della didattica digitale.

Anche in questo caso, le scuole, se ricorrono a un soggetto esterno per la gestione dei servizi per la DDI (come ad esempio nel caso di Google o Microsoft), sono tenute a nominarlo “responsabile del trattamento”.

Solitamente, in queste situazioni, e per le suite citate, l’atto di nomina è disponibile all’interno dell’area riservata della piattaforma.

L’istituto, come suggerito anche dal Garante della privacy, ha altresì il dovere di effettuare una valutazione per determinare i possibili rischi legati al trattamento posto in essere (indipendentemente dal tipo di piattaforma utilizzata per la DDI), mettendo in atto le opportune misure di sicurezza per tutelare i dati.

In tali casi è sufficiente una valutazione del rischio, che suggeriamo di effettuare con il modello dell’Enisa, che dovrà poi essere analizzata e validata dal responsabile della protezione dei dati (DPO).

La valutazione di impatto, invece, deve essere svolta, anche su indicazione del proprio DPO, solo se il trattamento effettuato, per quanto relativo a minorenni e a lavoratori, presenta ulteriori caratteristiche suscettibili di aggravarne i rischi.

Inoltre, è indispensabile che le scuole diano una specifica autorizzazione al trattamento per il soggetto designato come amministratore della piattaforma digitale, in ragione del fatto che avrà la possibilità di intervenire direttamente sui dati personali mediante la creazione/cancellazione degli account e la possibilità di visualizzare gli accessi alla piattaforma.

Infine, è bene che gli istituti tengano traccia di tutti i regolamenti, le policy e le istruzioni adottate relative alla DDI.

Altri documenti

Altri documenti da redigere ed esibire sono:

  • Registro delle attività di trattamento
  • Nomine per il personale e attività formativa svolta
  • Informative
  • Policy
  • Misure di sicurezza adottate

Di tutto questo elenco ci soffermiamo in particolare sul registro delle attività di trattamento, punto di partenza di qualsiasi ispezione, il quale viene definito dal Garante della privacy, all’interno delle sue FAQ, come “…un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del RGPD) relative alle operazioni di trattamento svolte dal titolare. […] Costituisce uno dei principali elementi di accountability del titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività”.

Il registro delle attività di trattamento è dunque un documento indispensabile per la corretta gestione dei dati degli interessati, in linea con il principio di responsabilizzazione (c.d. “accountability”) previsto dal GDPR, e va sempre protocollato da parte della scuola, in modo da attribuirgli una data certa.

Conclusioni

Certamente, essere sottoposti a un’ispezione non è un’esperienza piacevole.

Tuttavia, una preparazione accurata, comprendendo quali documenti produrre e presentare durante i controlli, può aiutare a gestire la situazione con maggiore tranquillità.

Le scuole, poi, possono contare sull’aiuto del responsabile della protezione dei dati, il quale è un valido punto di riferimento anche in questi frangenti.

Per garantire l’efficacia del suo supporto, è essenziale che il DPO venga coinvolto in tutte le questioni relative al trattamento dei dati personali, possibilmente prima di implementare nuove misure.

Inoltre, è importante ricordare che, anche dopo il mese di luglio, le scuole non dovranno abbassare la guardia, rimanendo costantemente preparate e consapevoli della possibilità di controlli, che potranno avvenire, oltre che per iniziativa dello stesso Garante, anche a seguito di segnalazioni o reclami da parte degli interessati.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

G
Lucia Gamalero
Privacy Specialist e Responsabile GDPR Scuola
Seguimi su
M
Paolo Martorana
Privacy Specialist e Responsabile GDPR Scuola

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Prossimo

AI e machine learning nel cloud, come potenziano analisi e automazione