Nell’ambito della tutela della privacy all’interno degli asilo nido, non è difficile individuare il nucleo delle informazioni che possono far conseguire le maggiori problematiche in relazione ad eventuali informazioni raccolte e, tuttavia, non ritenute indispensabili. Vediamo di seguito cosa cambia, oggi, con il GDPR e quali sono i maggiori problemi che si trovano ad affrontare Comuni o gestori di asili privati.
L’intervento del Garante
Già in passato, si rese necessario l’intervento del Garante (doc. web. n. 2554925) che intervenne in merito alla procedura preposta per stilare la graduatoria di ammissione all’asilo nido.
Troppe le informazioni richieste, rivelatrici di dati anche di natura sanitaria, per altro valutate ininfluenti ai fini della verifica della sussistenza dei criteri richiesti per l’iscrizione, questo per quanto concerne, ovviamente, i nidi comunali.
Pertanto, venivano esclusi -per mancanza di pertinenza e di eccesso vero e proprio rispetto alla finalità della procedura- tutti i dati concernenti le informazioni relative allo stato civile di uno dei genitori (separato, divorziato, deceduto), alle vicende giudiziarie (eventuali procedimenti pendenti per affido o adozione), finanche, l’eventuale origine straniera dei genitori.
Cosa cambia col Gdpr
Come si può facilmente intuire, partendo dalla base che tutti i dati raccolti riguardano dei minori, l’attenzione alla predisposizione dei moduli per la raccolta del consenso deve essere davvero scrupolosa, soprattutto quando si passa da quelli personali a quelli sensibili.
Nella prima categoria rientreranno, di norma, quelli forniti dai genitori all’atto dell’iscrizione, indispensabili per poter accedere al servizio. Per questi dati, non vi è una necessità vera e propria di acquisire il consenso, in quanto in strettamente connessi ed indispensabili alla conclusione del contratto o per beneficiare del servizio disposto dal Comune.
L’asilo, oltre ai dati personali del minore e dei genitori (nome, cognome, indirizzo, telefono) potrebbe richiedere anche l’indicazione dei dati di altri soggetti adulti, nonché la fotocopia di un documento d’identità degli stessi, al fine di identificare coloro che possono prelevare il minore dal nido, al posto dei genitori. In tal caso, si tratta di informazioni facoltative e non obbligatorie, per le quali basterà limitarsi allo stretto uso per le quali vengono rilasciate.
Raccolta di dati sensibili
Discorso del tutto diverso concerne la raccolta di quei dati che possono rivelare lo stato di salute del minore, ipotesi che riguarda soprattutto gli asili dotati di una mensa o che includono attività pomeridiane dedicate all’esercizio fisico.
Allergie, intolleranze, ma anche appartenenza a credi religiosi che vadano ad incidere sull’alimentazione del minore, dovranno essere oggetto di uno specifico consenso e non solo. Particolarmente accurata, in tal caso, dovrà essere l’informativa circa il trattamento di tali dati particolari, fornita ai genitori o a coloro che esercitano la potestà genitoriale.
Dunque, assicurarsi che gli stessi comprendano bene le finalità del trattamento, siano esse previste dalla legge (si pensi all’altalenante obbligo/non obbligo di esibire l’attestazione per le vaccinazioni) oppure connesse alla possibilità di usufruire dei servizi (ad esempio mensa e palestra) e specificare in maniera chiara che, per nessun motivo, tali dati saranno trattati per finalità diverse da quelle per le quali sono stati forniti.
Sarebbe opportuno, al fine di evitare l’insorgere di problematiche postume che sono state fonte di scelte anche estreme da parte dei titolari del trattamento (vedi annullamento della foto di classe), acquisire un preventivo consenso alla pubblicazione, sui siti istituzionali o quelli social della scuola, delle foto scattate in occasione di eventi come recite, sfilate, cortei, ecc., raffiguranti i minori ed in particolare quelle dove sono riconoscibili i volti.
Sul punto, per completezza argomentativa, si segnala che vi sono anche orientamenti che ritengono, invece, superfluo chiedere il consenso ai genitori per la pubblicazione delle foto dei minori sui siti legati alla scuola o -ad esempio- sul giornale della scuola.
Gestione dell’immagine del minore
Poiché, la gestione dell’immagine, soprattutto di un minore, è un tema che trova tutela anche nel codice penale, il consiglio più valido è sempre quello di farsi rilasciare una liberatoria dai genitori.
Sottolineando il plurale (entrambi i genitori) così da evitare al titolare del trattamento, successive e, spesso, lunghe sedute di chiarimenti e tentativi di sedare gli animi del genitore -eventualmente- contrario alla pubblicazione della foto ritraente il figlio, soprattutto nelle ipotesi di genitori separati/divorziati, con la paventata ipotesi di ricorrere alla tutela del Garante per il trattamento illecito ipotizzato.
Tale linea prudenziale incontra anche i criteri sempre espressi dal Garante sul tema, fin dai documenti del 2016 (“La scuola a prova di privacy”), tesi a sensibilizzare il trattamento dell’immagine del minore, alla luce della grande semplicità con la quale è oramai possibile “scaricare” la stessa dal web e, magari, condividerla in siti “a rischio” (si pensi a quelli della pedofilia) all’interno del cosidetto “Dark Web”.
Come redigere una liberatoria
Pertanto, per redigere una liberatoria quanto più completa possibile, non si dovrebbe mai omettere do indicare:
- le finalità esclusive dell’utilizzo delle foto, teso a documentare le attività formative ed eventuali eventi extra scolastici;
- i siti dove saranno pubblicate le immagini e la privacy applicata per la loro condivisione e visibilità.
In conclusione, si caldeggia un criterio di proporzionalità unitamente a quello della prudenza, che si andrà a rapportare in maniera diretta anche ala tipologia delle immagini, più “gradato” per quelle ritraenti “gruppi” di bambini dove non risulta agevole la singola individuazione del minore, più “alto” in rapporto a quelle che ritraggono un primo piano.
Una condotta da evitare
Ultima osservazione in merito al tema delle immagini concerne una condotta assolutamente da evitare che può trovare fonte in una esplicita richiesta di alcuni genitori. Si pensi al caso in cui, a seguito di una “grave” negligenza comportamentale o di un “capriccio” del bambino, segua una telefonata tra genitore ed insegnante e il primo chieda a quest’ultimo l’invio immediato di una foto raffigurante il minore nel frangente fonte del richiamo disciplinare.
In tal caso, qualora l’insegnante acconsentisse, non avverrebbe solamente il passaggio della foto tra i due cellulari, in quanto gli smartphone sono dotati di una memoria delle immagini che darebbe luogo ad un trattamento di archiviazione di un dato, in assenza di consenso e di una finalità strettamente connessa ed indispensabile al trattamento.
Pertanto, anche in questo caso, si consiglia prudenza e di limitare tale condotta a situazioni “estreme” che possano minare l’incolumità fisica del minore, discernendo i casi dove l’immagine o finanche un breve video, siano -invece- di ausilio ad agevolare l’insegnante ad un tempestivo soccorso del minore.
Tre punti fondamentali per un asilo a prova di privacy
Chiariti gli aspetti più problematici del consenso da far sottoscrivere ai genitori dei piccoli alunni, vediamo quali sono gli ulteriori punti indispensabili affinché l’asilo possa ritenersi adeguato alla tutela dei dati dei minori.
In tal caso, la fattispecie non si discosta dagli obblighi previsti dal GDPR per tutti i soggetti destinatari della normativa.
Pertanto, tre saranno i punti fondamentali:
- predisporre un modulo di consenso chiaro e quanto più completo possibile;
- predisporre un registro dei trattamenti;
- procedere a nominare il responsabile protezione dati.
Nomina del DPO, obbligatoria o solo opportuna?
Tale ultimo punto, a dire il vero, è stato oggetto di contrasto, soprattutto in relazione alla dicotomia asilo pubblico/asilo privato.
Se per la prima tipologia, non sono sorti dubbi sulla obbligatorietà della nomina, che trova la sua fonte direttamente nella natura pubblicistica del nido, diverse interpretazioni sono state elaborate per la seconda.
Ebbene, all’uopo si sottolinea che -se pur non si vuol propendere per la tesi della obbligatorietà- si dovrebbe quanto meno addivenire a quella dell’opportunità alla luce della natura dei dati oggetto del trattamento.
Basterebbe sottolineare che riguardano minori e, come illustrato nella prima parte, molto spesso dati idonei a rivelare lo stato di salute del minore.
