Nuove difficoltà per il sistema scolastico italiano (e qualche perplessità in tema di protezione dati) potrebbero venire dalla nota del Ministero dell’Istruzione del 3 giugno, recante “Istruzioni per la corretta gestione dei dati personali relativi ai soggetti versanti associati all’alunno, nell’ambito del servizio “Pago In Rete”, per l’abilitazione di tali soggetti all’esecuzione dei pagamenti telematici intestati”.
Insieme alle ultime note e Ordinanze emanate dal Ministero (si veda la DAD o la pubblicazione degli scrutini ed esami), anche questa crea numerose disfunzioni e problemi in fase di applicazione all’interno delle istituzioni scolastiche, nonché rischi di violazione, perché frutto di un errato (pur diffuso e abusato, nel Paese) utilizzo del consenso quale fondamento di liceità del trattamento dei dati personali.
La nota della discordia
Nella nota, il Ministero chiede alle scuole l’acquisizione di un “consenso” al trattamento dei dati da parte di ciascun genitore per l’attivazione dei pagamenti elettronici con il servizio “Pago In Rete”.
“Pago in Rete”, come altri applicativi disponibili in SaaS, gratuiti o a pagamento, è un sistema che abilita le famiglie al versamento telematico delle tasse e dei contributi scolastici richiesti agli alunni frequentanti tramite il sistema PagoPA.
Si tratta quindi, anche ai sensi della nota dello stesso MI dell’8 maggio 2020 n. 1125, di un servizio imposto per legge alle istituzioni scolastiche, ed alla cittadinanza che si avvale dei relativi servizi, di pagamento elettronico conforme alle prescrizioni vigenti del CAD.
Nella citata nota del 3 giugno 2020 il Ministero, nell’illustrare le supposte corrette “istruzioni”, propone alle istituzioni scolastiche come fondamento di liceità del trattamento del servizio “Pago In Rete” il consenso dell’interessato (tenendo peraltro in scarsa considerazione le linee guida emesse dal Comitato Europeo per la Protezione dei Dati Personali sulla trasparenza e sul consenso, recentemente aggiornate).
Nella fattispecie, nella nota in oggetto del MI, il consenso è richiesto ai singoli genitori sia per l’abilitazione al servizio, e quindi per l’associazione genitore-alunno (peraltro già nota alla scuola e presente nel registro elettronico per l’interazione scuola-famiglia, quindi ridondante oltre che superflua), sia per l’associazione dell’alunno al rappresentante di classe (ulteriore e non prescritta), così che quest’ultimo possa visualizzare i dati relativi ai pagamenti da effettuare ed effettuarli per conto del genitore.
Lo stesso Ministero, inoltre, ha predisposto un modello di informativa per le scuole nella quale, a detrimento degli articoli 6 e 7 del GDPR, definisce il conferimento dei dati come obbligatorio per l’abilitazione al servizio, pur basando il trattamento sul consenso, peraltro senza distinguere le due attività di trattamento dichiarate nella nota (associazione genitore-alunno e autorizzazione al rappresentante di classe ad agire per conto del genitore stesso).
I problemi legati all’applicazione della nota
Appare evidente che l’applicazione della nota del MI generi alcuni problemi, anche di conformità, di non scarsa rilevanza, ed in particolare:
1) la base giuridica del trattamento dei dati personali, nel contesto descritto, non può essere il consenso, dovrebbe bensì corrispondere all’adempimento ad obblighi di legge nell’esercizio dell’interesse pubblico rilevante in applicazione di:
- art. 5 del D.Lgs. 82/2005 – Codice dell’Amministrazione Digitale
- art. 15, comma 5-bis, del Decreto Legge n. 179/2012, come convertito il legge
- art. 65, comma 2, del D.lgs n. 217/2017, come da ultimo modificato dal D.L. n. 162/2019 (Decreto Milleproroghe);
- nota MI dell’8 maggio 2020 n. 1125 che fa seguito alla comunicazione a firma congiunta del Ministro per l’innovazione tecnologica e la digitalizzazione, Paola Pisano, e dell’Amministratore Unico della PagoPA S.p.A., Giuseppe Virgone, in merito all’obbligatorietà di adesione alla Piattaforma PagoPA dal 30 giugno p.v. 2020 dal cui combinato si genera la realizzazione del sistema dei pagamenti elettronici “pagoPA”) e l’esecuzione di compiti di interesse pubblico.
2) anche se fosse concettualmente legittimo, un consenso così richiesto non sarebbe libero (il conferimento dei dati è dichiarato obbligatorio e l’utente non può avvalersi del servizio se non lo conferisce), e non sarebbe specifico (lo stesso genitore presterebbe un solo consenso sia per poter ricevere gli avvisi di pagamento digitali sia per concedere delega al rappresentante di classe), a detrimento delle condizioni per il consenso sancite dall’art. 7 del GDPR.
3) come potrebbe una scuola (quantomeno quelle con 700/800 o più studenti) acquisire in questo periodo tutti i consensi dei genitori degli alunni, allo scopo di poter mettere loro a disposizione un servizio, peraltro obbligatorio, in breve tempo (ad anno scolastico terminato, con nuovo anno scolastico alle porte e accorpamenti tra istituti in corso di realizzazione)?
4) per quale ragione lo stesso genitore dovrebbe prestare un solo consenso per due servizi così diversi (pagare per il proprio figlio o delegare un terzo ad effettuare il pagamento)?
La stessa Autorità Garante per la Protezione dei Dati Personali italiana, nel Provvedimento del 26 marzo 2020 “Didattica a distanza: prime indicazioni”, ha ricordato alle Scuole (e al Ministero) che la base giuridica per la didattica non può essere, nella stragrande maggioranza dei casi, il consenso, ma lo stesso Regolamento europeo che, al considerando 43, dispone chiaramente che “è improbabile che le autorità pubbliche possano basarsi sul consenso per effettuare il trattamento, poiché quando il titolare del trattamento è un’autorità pubblica sussiste spesso un evidente squilibrio di potere nella relazione tra il titolare del trattamento e l’interessato. In molti di questi casi è inoltre evidente che l’interessato non dispone di alternative realistiche all’accettazione (dei termini) del trattamento. Il Gruppo di lavoro ritiene che esistano altre basi legittime, in linea di principio più appropriate, per il trattamento da parte delle autorità pubbliche”.
Duole aggiungere, inoltre, che nell’informativa predisposta dal MI e proposta a tutte le scuole italiane il Ministero si autodefinisce, senza considerare la sovrapposizione del ruolo istituzionale/normativo con quella di fornitore di servizi, quale “responsabile del trattamento” per conto delle scuole, in totale assenza di un contratto o altro atto giuridico ai sensi dell’art. 28 del Reg. UE 2016/679.
A questo punto ci preme di evidenziare che, ad oggi, nessun contratto o altro atto giuridico è stato siglato dalle scuole italiane con il Ministero e che lo stesso, offrendo un servizio digitale alle scuole, dovrebbe rispettare – laddove non dovesse considerarsi quale autonomo titolare – le stesse regole dei fornitori ordinari, mettendo a disposizione almeno un documento contrattualmente valido di fornitura del servizio che includa una proposta di designazione a responsabile del trattamento e gli impegni e le garanzie prestate per garantire la sicurezza del trattamento.
Quanto sopra vale senza considerare che, nella semplice informativa messa a disposizione delle scuole, non vi è traccia di alcuna valutazione del rischio connessa alla gestione dei dati (a maggior ragione degli insolventi, inevitabilmente registrati nel sistema) o alle procedure e tempistiche di consegna delle ricevute e cancellazione immediata dei dati.
Conclusioni
Ad avviso di chi scrive, si tratta dell’ennesima nota sbagliata e fuorviante, che rischia di causare gravi disagi e danni nelle scuole, già fortemente provate dall’emergenza COVID-19 e dal caso generato dal Ministero con le sue recenti note e Ordinanze riguardanti la pubblicazione degli scrutini.
Il consiglio che possiamo dare alle scuole è quello di affidarsi ai propri Responsabili della Protezione dei dati per individuare le modalità e i contenuti più corretti da inserire nell’informativa resa agli interessati e gestire i ruoli e le responsabilità in materia di protezione dei dati tra scuola e Ministero. Nell’attesa di un eventuale intervento dell’Autorità Garante, già sollecitato dagli scriventi con formale segnalazione.
