Anche le scuole sono chiamate ad adeguarsi al GDPR e al D. Lgs. 10 agosto 2018, n. 101, entrato in vigore lo scorso 19 settembre ed intervenuto ad incidere sul Codice privacy. La necessità è quella di rivedere l’organizzazione delle attività, non semplicemente in termini formali – attraverso un adeguamento documentale – quanto, piuttosto, a realizzare una rivoluzione culturale all’interno di molte prassi.
La sfida dell’accountability, anche per la scuola
La vera sfida, anche per il settore dell’istruzione, è rappresentata dal dare concretezza al principio di accountability – anche noto come principio di responsabilizzazione – su cui poggia l’intero impianto normativo e, al tempo stesso, evitare la paralisi delle attività delle istituzioni per via di un timore (immotivato a parere di chi scrive) verso le novità introdotte dalla disciplina comunitaria.
Questo articolo si propone proprio l’obiettivo di fornire una veloce panoramica su quelli che sono i principali adempimenti cui sono chiamate le istituzioni scolastiche al fine di adeguarsi all’attuale quadro normativo che va ad incidere innanzitutto sull’organizzazione interna dell’istituto, imponendo una revisione dell’assetto, oramai consolidato, disegnato dal Codice Privacy in epoca antecedente al D.lgs. 101/18.
I soggetti coinvolti nel trattamento dei dati
La revisione che viene richiesta dal GDPR comincia dal novero dei soggetti coinvolti nel trattamento dei dati dal momento che, al di là delle assonanze terminologiche, risultano profondamente incisi i ruoli e le responsabilità attribuiti a ciascuno di essi.
Anche all’interno dell’organigramma dell’Istituto scolastico si dovranno così individuare le figure indicate dal GDPR e dal novellato Codice Privacy e che si possono così elencare:
- titolare del trattamento,
- responsabili (esterni) del trattamento,
- eventuali sub-responsabili, soggetti autorizzati,
- responsabile della protezione dei dati.
Il primo equivoco che va chiarito, per quanto possa suonare scontato agli esperti della materia, è che il titolare del trattamento, ossia il soggetto che determina le finalità e i mezzi del trattamento dei dati personali[1], sarà sempre l’Istituto scolastico nel suo complesso e non già la persona fisica posta alla sua direzione il cui ruolo sarà quello di dare esecuzione alle determinazioni del titolare.
Si deve subito segnalare che, nel nuovo quadro regolamentare, il titolare del trattamento è chiamato ad assicurare, attraverso scelte non più guidate o suggerite dal legislatore, l’obiettivo del massimo grado di protezione dei dati trattati, dati che, per l’istituzione scolastica, saranno riferiti per lo più ad utenti minorenni. Nell’effettuare queste scelte il titolare dovrà farsi guidare dal principio di accountability, o principio di responsabilizzazione, che, nella realtà dei fatti, si tradurrà, ad esempio, nell’accurata selezione dei soggetti cui affidare servizi e forniture avendo riguardo alla sussistenza di garanzie sufficienti a mettere in atto misure tecniche e organizzative adeguate e tali da soddisfare i requisiti del GDPR e garantire la tutela dei diritti dell’interessato: nell’individuazione del fornitore – chiamato nello svolgimento del servizio a trattare dati personali – l’Istituto dovrà tener conto, nella valutazione del massimo vantaggio conseguibile, anche del livello di tutela dei dati che il soggetto propone nell’offerta.
È proprio in relazione all’adeguatezza delle misure che si individua uno dei primi cambi di rotta rispetto alla normativa previgente. Il Codice Privacy infatti all’articolo 33 e nell’Allegato B faceva riferimento ad una serie di misure minime – che tutti i titolari erano tenuti ad adottare – volte ad assicurare un livello basilare di protezione dei dati. Il legislatore europeo, invece, ben conscio dell’evoluzione e del progresso tecnologico ha spazzato via il requisito di misure “minime” prevedendo che i titolari adottassero misure adeguate alla protezione dei dati in linea con la realtà in continuo mutamento. Conformemente a tale impostazione e in aderenza a tale inversione di tendenza, l’articolo 27, comma 1, lett. d), del D. Lgs. n. 101/2018 ha abrogato l’Allegato B del Codice Privacy rubricato “Disciplinare tecnico in materia di misure minime di sicurezza”. Ciò non esclude che tale documento possa rappresentare un valido punto di partenza per orientarsi e per poi procedere all’individuazione delle ulteriori misure che, alla luce dello stato della tecnica e delle condizioni specifiche del trattamento, vadano ad integrare il sistema di protezione necessario e conforme a quanto stabilito dal GDPR in tema[2].
Il legislatore nazionale, al novello articolo 2 quaterdecies del D.lgs. 196/2003, ha poi previsto che, nell’ambito dell’organigramma organizzativo dell’Istituto, specifici compiti e funzioni connessi al trattamento di dati personali siano demandati ad un ufficio o singolo dipendente – particolarmente qualificato – che, individuato con apposito atto di nomina, potrebbe essere investito dell’esecuzione delle principali operazioni di “privacy policy”. In particolare, tra le tante attività, il designato potrà essere chiamato:
- a coadiuvare la tenuta del registro delle attività di trattamento ai sensi dell’art. 30 par.1 GDPR;
- a coordinare l’attività di aggiornamento delle informative da rendere agli interessati, ai sensi degli artt. 13 e 14 del Regolamento;
- a valutare i soggetti da nominare responsabili del trattamento ai sensi dell’art. 28 GDPR;
- ad assicurare immediato riscontro alle richieste del DPO riconducibili al settore di appartenenza;
- a coordinare le attività di valutazione degli impatti privacy (Privacy Impact Assessment– PIA) fin dal momento della progettazione dei processi e degli applicativi informatici di supporto, nei casi in cui il trattamento alla base degli stessi, per sua natura, oggetto o finalità, presenti rischi specifici per i diritti e le libertà degli interessati.
In ogni caso, il titolare è chiamato a fornire adeguate istruzioni a tutti quei dipendenti che, sotto la sua diretta autorità, abbiano accesso a dati personali.
Il Responsabile del trattamento
Tali figure, in linea con quanto previsto dall’art. 29 del GDPR, potrebbero essere indicati come delegati o incaricati al trattamento ma non vanno confusi con il “responsabile interno”, figura tutta italiana e sconosciuta alla normativa comunitaria e che, allo stato, dobbiamo ritenere scomparsa. Il Regolamento UE 2016/679, invero, all’articolo 28 GDPR si occupa del “Responsabile del Trattamento”, inteso come soggetto che tratta i dati per conto del Titolare, le cui significative peculiarità si colgono nell’articolata disciplina che il GDPR gli riserva. Dalla lettura complessiva dell’articolo emerge la figura di un soggetto – persona fisica, giuridica, autorità pubblica, servizio od organismo – che si pone all’esterno dell’organizzazione del titolare e per conto del quale, con una discrezionalità più o meno ampia, tratta i dati e persegue le finalità definite dallo stesso. Il responsabile al trattamento – la cui nomina, nei termini essenziali richiesti dall’art. 28 GDPR[3], dovrà avere forma scritta sia quale atto autonomo o, in alternativa, con l’inserimento di una clausola ad hoc all’interno del contratto di servizio – dovrà presentare garanzie sufficienti a mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento affidato soddisfi i requisiti del GDPR e garantisca la tutela dei diritti dell’interessato.
Il sub-responsabile del trattamento
Nelle operazioni di trattamento affidate dal titolare al responsabile quest’ultimo si potrà servire, a sua volta, di un altro soggetto per il compimento di specifiche attività nell’ambito del trattamento che compie per conto del titolare. In questo caso, il responsabile – previa autorizzazione scritta del titolare[4] – procederà a nominare tale soggetto quale sub-responsabile del trattamento obbligandolo ad osservare gli stessi obblighi, in materia di protezione dei dati, che gravano su di lui nel rapporto con il titolare.
Qualora il responsabile non provveda ad impartire al sub-responsabile le istruzioni previste, così come nel caso in cui il sub-responsabile ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile.
Il responsabile della protezione dei dati
Una figura completamente nuova è invece quella del responsabile della protezione dei dati (RPD o, secondo l’acronimo inglese DPO – Data Protection Officer), la cui nomina è obbligatoria per tutte le autorità e gli organismi pubblici dunque anche per gli istituti scolastici pubblici: l’art. 37, par. 1, lett. a) del Regolamento prevede espressamente che “il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali”. La medesima obbligatorietà non vale anche per gli istituti privati, sebbene – come suggerito dalla Opinion del WP29 – appaia preferibile che anche tali soggetti vi procedano, tenuto conto delle specificità dei dati trattati, dei soggetti interessati (per lo più minori) e dei rischi connessi con le attività di trattamento.
Il responsabile esterno
Il responsabile della protezione dei dati può essere un soggetto esterno o interno all’Istituto. Qualora si opti per un soggetto esterno, l’Istituto procederà a stipulare un contratto di servizio con la persona – fisica o giuridica – aggiudicataria della procedura selettiva, nella quale saranno indicati i requisiti di partecipazione, la durata e le caratteristiche di esecuzione della prestazione. Il contratto dovrà poi individuare in maniera inequivocabile il soggetto che opererà come responsabile della protezione dei dati disciplinando compiutamente tutto quanto previsto dalla normativa di riferimento.
Il ruolo di RPD può essere affidato anche a soggetto interno all’Istituto la cui nomina andrà formalizzata, anche qui, con un atto di designazione. Da tale atto, oltre ai compiti e alle funzioni che vengono assegnate al RPD, dovranno emergere le motivazioni che hanno determinato la scelta di individuare il proprio responsabile della protezione dei dati nella persona fisica selezionata. Così come precisato dal Garante, la specificazione dei criteri utilizzati nella valutazione compiuta dall’Istituto nella scelta di tale figura, oltre a essere indice di trasparenza e buona amministrazione, costituisce anche elemento di valutazione del rispetto del principio di responsabilizzazione.
Nell’attribuzione interna del ruolo del RPD, il titolare dovrà porre particolare attenzione a che gli altri compiti e funzioni svolti dal dipendente non determinino, anche solo in potenza, alcun conflitto di interessi. Pertanto, le attività che il RPD sarà chiamato a svolgere, sia di rilevanza interna (consulenza al titolare, formazione del personale, sorveglianza sull’osservanza della normativa, pareri) che esterna (cooperazione con il Garante per la protezione dei dati personali e contatto con gli interessati) non dovranno essere incompatibili con le mansioni ordinariamente svolte.
In linea di principio, la scelta del RPD dovrà ricadere su di un dirigente o un funzionario di alta professionalità che possa svolgere le proprie funzioni in autonomia e indipendenza senza necessità di ricevere al riguardo istruzioni da parte del titolare su come espletare le funzioni attribuitegli. Al fine di garantire al RPD il corretto svolgimento delle proprie funzioni, avuto riguardo anche al grado di complessità dei trattamenti e dell’organizzazione, il titolare dovrà fornire al responsabile della protezione dei dati le risorse necessarie[5] per assolvere ai compiti demandati, accedere ai dati personali e ai trattamenti e mantenere la propria conoscenza specialistica. Talora potrebbe dunque prospettarsi l’opportunità di realizzare un’unità o gruppo di lavoro sotto il diretto controllo del RPD il quale indicherà a ciascun collaboratore i compiti assegnati. In tal caso il RPD resterà sempre e comunque il punto di contatto nelle relazioni con il titolare.
I principali adempimenti
Al pari delle figure sin qui illustrate, gli adempimenti e le attività che l’Istituzione scolastica è chiamata a compiere per adeguarsi al nuovo quadro normativo, non paiono presentare particolari peculiarità rispetto a quanto dovranno realizzare le altre pubbliche amministrazioni. Di seguito proveremo ad illustrarle segnalando le eventuali specificità del caso.
La designazione del responsabile della protezione dei dati (RPD)
Come anticipato, la figura del RPD, già presente in alcuni Paesi europei, diventa obbligatoria per tutte le autorità e gli organismi pubblici con il GDPR, dunque, anche gli Istituti (pubblici) dovranno dotarsene – qualora non vi abbiano già provveduto – quanto prima. A prevederlo è l’art. 37 par. 1 lett. a) a norma del quale “il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali”[6]. Il RPD, che può essere tanto una persona fisica quanto una persona giuridica, deve presentare requisiti specifici (in particolare, conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati). Si tratta di un soggetto con funzioni “ibride” come, a titolo esemplificativo:
- informare e fornire consulenza al titolare;
- curare la formazione del personale;
- sorvegliare l’osservanza della normativa;
- fornire un parere in merito alle valutazioni d’impatto (se richiesto);
- cooperare con l’autorità di controllo (che in Italia è il Garante per la protezione dei dati personali);
- fungere da punto di contatto tra l’autorità e il titolare.
Il titolare è tenuto a fornire al RPD tutte le risorse di cui necessita per l’esecuzione dei suoi compiti e non può penalizzarlo o rimuoverlo a seguito dell’adempimento degli stessi. Ciò non toglie che, all’esito di pareri espressi dal RPD, che ricordiamo non essere vincolanti, il titolare possa operare in senso opposto, fermo restando il principio di responsabilizzazione. L’onere di assicurare il rispetto della normativa e la conformità delle operazioni di trattamento al GDPR ricade sempre sul titolare poiché il responsabile della protezione dei dati non risponde personalmente in caso di inosservanza del GDPR.
Come abbiamo innanzi detto, il RPD può essere sia interno che esterno all’Istituto e, nel primo caso, potendo svolgere altre funzioni all’interno dell’Istituto, dovrà farsi particolare attenzione alla sussistenza, anche solo potenziale, di un conflitto d’interessi (art. 38 par. 6 GDPR). Nel caso di RPD esterno, invece, l’Ente dovrà stipulare un vero e proprio contratto di servizi all’esito di una procedura selettiva in cui si indicheranno i requisiti di partecipazione, la durata e le caratteristiche di esecuzione della prestazione.
La designazione del RPD ed i suoi dati di contatto dovranno essere comunicati dal titolare al Garante mediante la procedura telematica messa a disposizione sul sito al seguente indirizzo.
L’aggiornamento delle informative
Una delle prime operazioni da compiersi è sicuramente l’aggiornamento delle informative da rendere agli interessati nel rispetto degli articoli 13 e 14 GDPR, con l’indicazione dei nuovi requisiti richiesti. La forma con cui deve essere resa l’informativa è individuata dal GDPR nella forma scritta o anche con mezzi elettronici: è evidente che il requisito potrà ritenersi integrato con la pubblicazione dell’informativa sul sito web dell’Istituto. Sarà bene redigere informative non eccessivamente strutturate che potrebbero veder compromesso il requisito della chiarezza e della semplicità optando, se del caso, per una pluralità di informative ritagliate sulla categoria di interessati cui saranno dirette (alunni/famiglie da un lato, dipendenti dall’altro, fornitori etc.). Il contenuto dell’informativa è indicato dal GDPR che, tra le novità, richiede l’indicazione del periodo di conservazione dei dati, la base giuridica su cui si fonda il trattamento ai sensi dell’art. 6 GDPR, l’ampio ventaglio dei diritti riconosciuti all’interessato e l’indicazione dei dati di contatto del responsabile della protezione dei dati.
La categoria degli interessati, ricordiamolo, nell’ambito degli istituti scolastici è costituita perlopiù da soggetti minorenni che, dunque, non possono rilasciare alcun valido consenso al trattamento dei dati fino al compimento del 18 anno di età[7]. Qualora lo studente dovesse raggiungere la maggiore età nel corso del ciclo scolastico sarà necessario acquisire il consenso direttamente dall’interessato e non dai genitori o dai soggetti che ne hanno precedentemente esercitato la potestà genitoriale.
In tema di consenso del minore, dobbiamo inoltre ricordare che il GDPR, al considerando 38, stabilisce chiaramente che “il consenso del titolare della responsabilità genitoriale non deve essere necessario nel quadro dei servizi di prevenzione o di consulenza forniti direttamente ai minori” con lo scopo di evitare qualunque ostacolo alla fruizione da parte del minore di servizi pensati e predisposti per la sua tutela quali, ad esempio, lo sportello di ascolto presente in diverse scuole per la lotta contro cyber bullismo, o, più in generale, di sostegno all’infanzia e ai minori nel contesto relazionale scolastico e familiare.
Le informative andranno dunque così rese dall’Istituto e non sarà necessario acquisire il consenso degli interessati salvo non siano effettuati trattamenti di dati che necessitino di essere espressamente autorizzati. Tali sono, per cominciare, le “famigerate” foto nel corso degli eventi dell’Istituto: l’interessato dovrà esprimere il proprio consenso non solo a che l’istituto effettui le riprese audio foto e video (raccolta) ma anche a che l’Istituto le comunichi o diffonda (pubblicazione on line sul sito d’istituto). Ad opinione di chi scrive, in difetto di una disposizione specifica ed univoca, non sembra potersi ravvisare una finalità istituzionale generale – non legata ad uno specifico evento o contesto di progetto – che legittimi le riprese audio, foto video nell’ambito scolastico in assenza di consenso degli interessati.
Passando all’esame di alcune specificità che l’ambito scolastico presenta, si segnala che il periodo di conservazione dei dati deve essere individuato sulla scorta del principio in base al quale i dati personali possono essere conservati per un periodo di tempo non superiore a quello necessario agli scopi per i quali sono stati raccolti. Tuttavia, nell’ambito della PA, per l’individuazione dei tempi di conservazione dei dati da indicare nell’informativa questi sono comunque stabiliti per legge e si dovrà tenere in debito conto di quanto disposto in materia di archivi delle istituzioni scolastiche dal Ministero dei Beni e delle Attività culturali[8].
In tema di indicazione della base giuridica, come innanzi ricordato, nell’Istituzione scolastica, la base giuridica per il trattamento dei dati si identifica con quanto stabilito dall’art.6 co. 1 lett. c) – trattamento necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento – e dalla lett. e) – il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Ciò a significare che il trattamento dei dati in ambito scolastico avviene esclusivamente in virtù di una norma di legge o, se ammesso dalla legge, di regolamento (art. 2 ter D.Lgs. 101/2018) e per le categorie particolari di dati indicati dall’art. 9 del GDPR, per motivi di interesse pubblico rilevante (art. 2 sexies D.Lgs. 101/2018). Sarà dunque nella fonte legislativa, o qualora previsto, nel regolamento che andrà ricercata la finalità e le caratteristiche del trattamento. Il GDPR suggerisce inoltre che “tale base giuridica (ndr il diritto dello Stato o dell’Unione) potrebbe contenere disposizioni specifiche per adeguare l’applicazione delle norme del presente regolamento, tra cui: le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto quali quelle per altre specifiche situazioni di trattamento di cui al capo IX.” ( art. 6 co. 3 GDPR).
In merito al trattamento di particolari categorie di dati, indicate all’art. 9 del GDPR, e per i dati relativi a reati o misure di sicurezza di cui all’art. 10 del GDPR, si segnala che il trattamento in ambito scolastico può trovare valido riferimento nel DM 305/2006[9].
Passando infine ai diritti che dovranno essere indicati nell’informativa, si ricorda che deve essere escluso il diritto alla portabilità dei dati: ai sensi dell’art.20 co.3 del GDPR il diritto “di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento”, non si applica al trattamento necessario per l’esecuzione di un compiti di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.
La nomina e i rapporti con i responsabili del trattamento
L’istituzione scolastica, al pari di tutte le realtà interessate da uno svolgimento articolato di funzioni, farà ricorso a soggetti che forniranno prestazioni di supporto o strumentali all’esercizio dei compiti propri dell’Istituto stesso. In tal caso, qualora la prestazione comporti il trattamento di dati personali da parte del fornitore, anche non come oggetto specifico della prestazione, questo dovrà essere nominato responsabile del trattamento ai sensi dell’art. 28 del GDPR in tutti i casi in cui tratti dati personali per conto del titolare. Ciò comporta la necessità di disciplinare il rapporto con il fornitore anche sotto questo specifico aspetto a mezzo di clausole del contratto o con altro atto giuridico a latere allo stesso a norma dell’Unione o degli Stati membri che vincoli il responsabile al titolare. In tale atto, si dovrà regolamentare la materia disciplinata e la durata del trattamento, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, tenendo conto dei compiti e delle responsabilità specifici del responsabile del trattamento nel contesto del trattamento da eseguire e del rischio in relazione ai diritti e alle libertà dell’interessato. Nella nomina, il titolare, nell’ottica di rispettare il principio di accountability, detterà delle istruzioni al responsabile. A titolo esemplificativo, prevederà che il responsabile:
- tratti i dati personali soltanto su sua istruzione documentata;
- garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
- adotti le misure richieste ai sensi dell’articolo 32 GDPR;
- assista il titolare nel dare riscontro alle richieste di esercizio dei diritti avanzate dagli interessati e lo informi tempestivamente nel caso in cui si verifichi una violazione di dati personali.
Si suggerisce, inoltre, che il titolare si riservi la possibilità di effettuare controlli e audit sull’attività e sulla struttura del responsabile.
È possibile ipotizzare, in questa prima fase di applicazione del GDPR, che a ciascun contratto già sottoscritto con il singolo fornitore corrisponda un atto di designazione a responsabile del trattamento ai sensi dell’art. 28 GDPR. All’interno di quest’atto, oltre a quanto già specificato, è necessario prevedere da parte del responsabile la restituzione o la cancellazione dei dati (dal proprio sistema informativo e dagli archivi cartacei a seconda dell’attività) al completamento delle operazioni di trattamento che potrebbero verificarsi sia alla scadenza o alla risoluzione del contratto sia alla cessazione dei servizi da eseguirsi in relazione all’attività da svolgere.
Ricordiamo che nell’atto di nomina, inoltre, il titolare può tanto autorizzare quanto vietare la nomina di sub-responsabili da parte del responsabile del trattamento. La figura del sub-responsabile sarà di certo ricorrente dal momento che è verosimile che per alcuni servizi il responsabile del trattamento si serva a sua volta di un altro soggetto per le attività che compie per conto del titolare. Il responsabile procederà, quindi, a nominare tale soggetto quale sub-responsabile del trattamento obbligandolo ad osservare gli stessi obblighi, in materia di protezione dei dati, che gravano su di lui nel rapporto con il titolare. Ovviamente, il responsabile è onerato a comunicare al titolare la presenza di soggetti, siano essi persone fisiche o persone giuridiche, che tratteranno i suoi dati. Resta inteso che eventuali modifiche, circa l’aggiunta o la sostituzione di altri sub-responsabili, debbano essere notificate al titolare. In generale, oltre alla possibilità di nominare nuovi sub-responsabili notificandolo al titolare, è altresì possibile che ciascuna richiesta di nomina passi al vaglio del titolare che dovrà concedere relativa autorizzazione caso per caso. Lo stesso art. 28 par. 2 GDPR prevede che “il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche”.
Qualora il responsabile non provveda ad impartire al sub-responsabile le istruzioni previste, così come nel caso in cui il sub-responsabile ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile.
La tenuta del registro delle attività di trattamento
Un altro adempimento che l’Istituto, in qualità di titolare del trattamento, è chiamato ad assolvere è quello relativo alla tenuta del registro delle attività di trattamento secondo quanto previsto dall’art. 30 par. 1 GDPR.
Si tratta di un documento di censimento e analisi contenente le principali informazioni relative alle operazioni di trattamento effettuate che si configura come una “fotografia” sullo stato attuale dei trattamenti posti in essere. Esso deve avere forma scritta, anche elettronica e, quando richiesto, deve essere esibito su richiesta del Garante. Ovviamente, dal momento che il registro deve essere sempre mantenuto aggiornato, qualsiasi cambiamento deve essere inserito provvedendo, così come suggerito dal Garante nelle FAQ dell’8 ottobre 2018 ad annotare sia la data di creazione che la data dell’ultimo aggiornamento. Si suggerisce, inoltre, di assegnare una data certa al documento, per mezzo di strumenti adeguati (a titolo esemplificativo: marche temporali, ma potrebbero essere sufficiente anche messaggi di posta elettronica certificata).
A norma dell’art. 30 par. 1 GDPR, il registro deve contenere:
- il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
- le finalità del trattamento;
- una descrizione delle categorie di interessati e delle categorie di dati personali;
- le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
- ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale;
- ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
- ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.
Oltre a quanto espressamente previsto dal par. 1, all’interno del documento è possibile inserire qualsiasi altra informazione ritenuta utile da parte del titolare nel rispetto del citato principio di accountability (ad es. le modalità di raccolta del consenso, le eventuali valutazioni di impatto effettuate, l’indicazione di eventuali “referenti interni” individuati dal titolare in merito ad alcune tipologie di trattamento ecc.).
Per le istituzioni scolastiche il Miur, con nota n. 877 del 03/08/2018, ha trasmesso alle scuole uno schema di Registro delle attività di trattamento corredato da una guida operativa per la compilazione dei campi individuati. La metodologia utilizzata per la compilazione del Registro delle attività di trattamento ha consentito di individuare i principali processi gestiti dalle istituzioni scolastiche.
Pare opportuno precisare che il modello andrà integrato con quei trattamenti ulteriori – sia per finalità che per tipologia di dati – che il singolo istituto effettua nello specifico quali acquisizione di foto, creazione e gestione di account per gli studenti e dipendenti, newsletter et c..
Altrettanto utili sono le linee guida sul Registro delle attività di trattamento messe a disposizione dal Garante Privacy.
La conduzione delle valutazioni d’impatto
Sebbene abbiamo più volte ricordato che la scuola effettui trattamenti consentiti e guidati dalle disposizione di legge o di regolamento, ciò non esclude che possa essere necessario effettuare una valutazione degli impatti privacy (Privacy Impact Assessment– PIA) e, specificatamente, che ciò avvenga nei casi in cui, fin dal momento della progettazione dei processi e degli applicativi informatici di supporto, il trattamento alla base degli stessi, per sua natura, oggetto o finalità, presenti rischi specifici per i diritti e le libertà degli interessati.
Tra le ipotesi che ad oggi si possono prendere in considerazione ricordiamo, ad esempio, l’adozione di sistemi di rilevazione biometrica delle presenze (rilievo delle impronte).
Sebbene sul punto sia intervenuto il Decreto cd. concretezza che pare dare il via libera a sistemi di rilevazione biometrica e videosorveglianza per monitorare l’ingresso a lavoro e il rispetto degli orari, in attesa della piena operatività della disposizione, resta ad oggi necessaria la realizzazione di una valutazione di impatto nell’ambito della quale si dovrà tenere in considerazione quanto esposto dal Garante, con il proprio parere dello scorso 11 ottobre 2018, reso appunto sull’articolo del decreto concretezza[10], nonché i precedenti provvedimento dell’Autorità.
Come precisato dal considerando 84, “l’esito della valutazione dovrebbe essere preso in considerazione nella determinazione delle opportune misure da adottare per dimostrare che il trattamento dei dati personali rispetta il presente regolamento. Laddove la valutazione d’impatto sulla protezione dei dati indichi che i trattamenti presentano un rischio elevato che il titolare del trattamento non può attenuare mediante misure opportune in termini di tecnologia disponibile e costi di attuazione, prima del trattamento si dovrebbe consultare l’autorità di controllo”.
A norma dell’art. 35 GDPR, la valutazione di impatto è richiesta, in particolare:
- in caso di valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione;
- di trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10;
- di sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Inoltre, in occasione della terza riunione plenaria del Comitato europeo per la protezione dei dati (EDPB), tenutasi a Bruxelles lo scorso 25 settembre, sono stati adottati i pareri sulle liste dei trattamenti da sottoporre a valutazione d’impatto. Tra le proposte, in bozza, avanzate dal Garante italiano quelle di condurre una DPIA sui trattamenti riguardanti: dati biometrici, dati genetici, controllo dei lavoratori e trattamento effettuato con utilizzo di tecnologie innovative.
Si ricorda che la CNIL, l’Autorità francese per la protezione dei dati, ha messo a disposizione uno strumento di ausilio ai titolari in vista della effettuazione della valutazione d’impatto. Si tratta di un software gratuito – disponibile anche in lingua italiana. Ovviamente, il software pur non essendo un modello completo utilizzabile in ogni situazione di trattamento, resta al momento un utile supporto di orientamento alla conduzione di DPIA.
_________________________________________________________________
- Il Garante ha precisato, sin dal 1997, che “qualora il trattamento sia effettuato nell´ambito di una persona giuridica, di una pubblica amministrazione o di un altro organismo, il “titolare” è l´entità nel suo complesso (ad esempio, la società, il ministero, l´ente pubblico, l´associazione, ecc.), anziché taluna delle persone fisiche che operano nella relativa struttura e che concorrono, in concreto, ad esprimerne la volontà o che sono legittimati a manifestarla all´esterno (ad esempio, l´amministratore delegato, il ministro, il direttore generale, il presidente, il legale rappresentante, ecc.) (Garante 9 dicembre 1997, in Bollettino n. 2, pag. 46 [doc. web n. 39785]) ↑
- Nell’individuazione delle misure adeguate, una bussola è offerta dall’art. 32 “Sicurezza del trattamento” del GDPR il quale traccia le coordinate in base alle quali un trattamento possa dirsi sicuro e suggerisce alcune delle misure idonee a garantire un trattamento adeguato al rischio. ↑
- Nell’atto di nomina andrà indicata la materia disciplinata e la durata del trattamento, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, tenendo conto dei compiti e delle responsabilità specifici del responsabile del trattamento nel contesto del trattamento da eseguire e del rischio in relazione ai diritti e alle libertà dell’interessato. Nelle operazioni di trattamento eseguite per conto del titolare, il responsabile risulta privo di autonomia nel decidere come trattare i dati degli interessati. ↑
- Il titolare potrà conferire un’autorizzazione specifica, per ogni singolo sub-responsabile individuato, oppure un’autorizzazione generale. In quest’ultimo caso, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche. ↑
- Il riferimento non è relativo solo a risorse finanziarie e infrastrutture (sede, attrezzature, strumentazione) ma anche ad eventuali risorse di personale. ↑
- Sebbene sia di recente introduzione, la figura del responsabile della protezione dei dati viene spesso confusa con quella del responsabile del trattamento. Ciò è dovuto all’infelice traduzione del termine “responsabile”. Si ricordi, infatti, che al termine responsabile della protezione dei dati corrisponde quello inglese di data protection officer e al responsabile del trattamento quello di data processor. ↑
- Il legislatore nazionale, all’art. 2 quinquies del Codice Privacy, ha previsto che << il minore che ha compiuto i quattordici anni può esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione>> fattispecie che, allo stato, non sembra poter interessare il mondo della scuola. ↑
- Gli archivi delle istituzioni scolastiche sono beni culturali fin dall’origine (art.10, c.2-b D.Lgs 42/2004, Codice dei beni culturali e del paesaggio) e come tali soggetti alla vigilanza (art.18 del Codice citato) della Soprintendenza archivistica competente per territorio, la quale in tale ambito svolge anche funzioni di consulenza tecnica. Si veda la circolare MIBACT n. 44 del 19 dicembre 2005, le Linee Guida e la successiva Circolare 8/2017. Tutto reperibile su ww.archivi.beniculturali.it ↑
- Tanto è consentito sostenere alla luce di quanto disposto dall’art. 22 rubricato <<Altre disposizioni transitorie e finali>> salva la verifica di compatibilità del provvedimento ministeriale rispetto al contenuto del GDPR.↑
- Parere n. 464 dell’11 ottobre 2018. ↑