L’istruzione per un corretto trattamento dei dati personali dei minori può trasformarsi da adempimento in “allegro obbligo”, ma il percorso deve coinvolgere tutti e porre l’accento sull’importanza della consapevolezza.
L’istituto comprensivo San Tommaso d’Aquino di Salerno, con lo spettacolo “A scuola con la privacy” prova perciò a trasmettere un semplice concetto: fino a quando l’obbligo formativo sancito dall’ art. 29 del GDPR sarà visto come un mero adempimento, e non come un momento di crescita, non compiremo mai quel salto culturale che la normativa ci chiede attraverso il tanto ripetuto concetto di accountability.
Il segreto per rendere veramente formativo quel momento, che la norma ci indica come obbligo, è infatti svestirlo di sfarzosità e renderlo un momento di crescita. Insomma: e se invertissimo l’onere probatorio e fossero gli interessati a spiegarci come e perché i loro dati personali devono essere trattati secondo scienza e coscienza?
Cosa dice la norma
Un excursus storico in materia di obbligo formativo deve necessariamente percorrere gli artt. 29, 32.4 e 39.1 lett. B) del Regolamento EU 2016/679, i quali sono concordi nell’affermare che: “chiunque abbia accesso ai dati personali non può trattare tali dati se non è istruito in tal senso”.
L’impatto del Regolamento sulla obbligatorietà della formazione è molto forte e sancisce un forte cambio di rotta rispetto a quanto previsto dal “vecchio” Codice Privacy ( ante riforma D.lgs. 101/2018). Siffatti a seguito della L. 4 Aprile 2012 n. 35 veniva abrogato il punto 19.6 del Disciplinare Tecnico in materia di misure minime che prevedeva appunto la necessità di formare gli incaricati al trattamento. L’unico baluardo a presidio della formazione era rappresentato dall’ art. 83 del D.lgs. 196/2003 che prevedeva l’obbligo, nel settore sanitario, di provvedere alla formazione del personale dipendente. Il Regolamento non si è limitato soltanto a richiedere a Titolari e Responsabili di dare seguito all’obbligo della formazione del personale, ma anzi, ne ha evidenziato la sua funzionalità nella qualità di misura di sicurezza.
A tal proposito l’adempimento dell’obbligo formativo assume anche la veste di attuazione di una misura di sicurezza, dato che, proprio l’articolo 32.4 GDPR, lo annovera tra le misure per garantire uno standard di sicurezza adeguato. Se tutto ciò non fosse sufficiente a rendere importante l’adempimento dell’obbligo formativo è previsto che a sorvegliare sulla corretta attuazione dell’obbligo formativo, laddove previsto, ci pensi il Responsabile della Protezione dei dati (art. 39.1 lett. b) Regolamento EU 2016/679).
Attuazione in ambito scolastico
In ambito scolastico con la nota n. 23732 del 25 luglio 2018 il Miur ha recepito la necessità, sancita dal Regolamento EU 2016/679, di procedere ad istituire corsi formativi in materia di privacy.
Al fine di conseguire il rispetto di tale previsione, il MIUR richiedeva agli Snodi Formativi Territoriali di confermare la disponibilità ad effettuare la sopra citata formazione entro novembre 2018. Se da un lato però veniva sottolineato come fosse importante procedere ad una vasta azione formativa destinata al personale della Scuola, dall’altro si rivolgeva la tassatività dell’obbligo formativo ad un massimo di 5 dipendenti per istituto scolastico (tra cui necessariamente: il Dirigente Scolastico, il vicario e il Direttore dei Servizi Generali e Amministrativi).
Ad onor del vero l’attenzione del Garante Privacy si era già esternata con il vademecum “ A scuola con la Privacy”-emanato nel 2016- dove addirittura si era messo al centro l’importanza della formazione in tema privacy di ciascun cittadino.
All’iniziativa del Garante aveva fatto eco il Legislatore italiano che con la L. 29 Maggio 2017, n. 71 che aveva dettato disposizioni a tutela dei minori per la prevenzione ed il contrasto a fenomeni di cyberbullismo. Da un punto di vista normativo la cooperazione tra MIUR, Autorità Garante Privacy e Legislatore (nazionale ed europeo) sembra costituire un ottimo punto di partenza. Seppure molto lodevole non sembra sicuramente essere bastevole. Se a questo aggiungiamo, poi, che il sindacato GILDA degli insegnati abbia contestato diversi ordini di servizio emanati da Dirigenti scolastici in cui si obbligavano tutti gli insegnanti a prendere parte a corsi di formazione in materia privacy, si evince come del dettato normativo europeo si sia colto soltanto la sua essenza adempimentale.
Bisogna precisare, ad onor del vero, che seppur fosse acclarato, come afferma il Sindacato Gilda, che gli insegnanti non accedono a dati sensibili resta il fatto che l’obbligatorietà della formazione è prevista a prescindere dai dati personali trattati. Dunque la questione non è riguardo quale tipologia di dati personali vengono trattati ma piuttosto la loro riconducibilità a soggetti, che nella stragrande maggioranza degli istituti scolastici, sono minori.
Siffatti quando gli interessati del trattamento dati sono minorenni il Regolamento EU 2016/679 e il D.Lgs. 101/2018 ne rafforzano la protezione. Non c’è altra strada se non la consapevolezza. E la consapevolezza si raggiunge soltanto attraverso la formazione e la sensibilizzazione di tutti i soggetti coinvolti nel trattamento dei dati personali( dal Titolare del trattamento fino all’autorizzato).
Bisogna trasformare quello che viene percepito come obbligo formativo, e dunque come adempimento, in crescita personale. Per farlo bisogna innanzitutto condividere e allargare la platea dei soggetti coinvolti nel momento di formazione. Non possiamo pensare di fare cultura privacy elitaria, rivolgendo l’obbligo formativo soltanto a pochi soggetti a capo dell’Istituzione scolastica. Bisogna convogliare in questo processo tutti gli attori. E dunque tutti i soggetti afferenti ad ogni singolo istituto scolastico. Ben venga ogni tipo di formazione( continua, valoriale, tramite e-learning, questionari e pamphlet da tavolo), ma per smuovere le coscienze c’è bisogno di un tuono.
A scuola con la privacy
E se fossero gli interessati a spiegarci come e perché i loro dati personali devono essere trattati secondo scienza e coscienza? E se l’adempimento di un obbligo formativo partisse da un atto che smuove le coscienze?
Con lo spettacolo “A scuola con la Privacy”, scritto e diretto da Federico Bergaminelli, si è voluto trasformare una provocazione in una idea. Per intraprendere un percorso improntato alla cultura privacy si deve partire da un momento che sia catartico, che coinvolga tutti e che ponga l’accento sull’importanza della consapevolezza. Il fatto che siano soggetti interessati, in ambito scolastico, a spiegare come devono essere trattati i propri dati personali crea sicuramente una frattura psicologica nel concetto di “obbligo formativo”. L’istruzione per un corretto trattamento dei dati personali dei minori non può essere infatti un infelice adempimento ma bensi’ un allegro obbligo.
Il Ministero dell’Istruzione in collaborazione con l’Autorità Garante per la Protezione dei Dati personali presentano lo spettacolo che andrà in scena il 12 giugno ore 16.00 al Teatro Eliseo in Roma.
