Il Garante per la protezione dei dati, all’interno delle FAQ “Scuola e privacy”, afferma che ogni persona può richiedere l’accesso alle proprie informazioni personali detenute dagli istituti scolastici.
Alunni, genitori, docenti, amministrativi e fornitori hanno perciò il diritto di conoscere se sono conservate o meno informazioni che li riguardano, e di farle rettificare se erronee o non aggiornate.
Per esercitare tale diritto, le persone possono rivolgersi direttamente al “titolare del trattamento” dei dati, ossia alla scuola.
La privacy a scuola: tutto quello che studenti, docenti e famiglie devono sapere
Nel caso in cui l’istituto non dovesse rispondere, o se il riscontro non fosse adeguato, possono invece rivolgersi al Garante o alla magistratura ordinaria.
Il diritto di accesso ai dati è regolamentato dalla normativa privacy – nello specifico dagli artt. 12 e 15 del Regolamento (UE) 2016/679 (c.d. GDPR) – ed è proprio dell’interessato, anche se di minore età.
Ogni persona ha il perciò diritto di sapere se è in corso un trattamento sui propri dati da parte dell’istituto scolastico, nonché di richiedere libero accesso alle informazioni.
L’interessato, inviando la propria domanda alla scuola, deve identificarsi, in quanto non sono ammesse richieste in formato anonimo.
Se il titolare non è in grado di identificare il soggetto, in quanto la richiesta proviene da un individuo rimasto incognito, deve informarlo della circostanza, e richiedere ulteriori informazioni per confermarne l’identità.
Nel caso in cui l’interessato non le fornisca, il titolare può declinare la richiesta di accesso ai dati personali.
Cosa si può richiedere alla scuola e come presentare la domanda di accesso
Chiunque può richiedere alla scuola l’accesso ai propri dati, e ha il diritto di conoscere:
- finalità del trattamento
- categorie di dati
- destinatari a cui i dati sono (o saranno) comunicati
- periodo di conservazione dei dati (o criteri utilizzati per determinarlo)
- origine dei dati
- esistenza di un processo decisionale automatizzato, compresa la profilazione o i trasferimenti dei dati fuori dall’Unione Europea
Pertanto genitori, alunni, dipendenti scolastici e fornitori possono liberamente inviare alla scuola una richiesta di accesso ai propri dati personali senza doverla motivare, e soprattutto senza dover pagare nulla.
Il titolare deve infatti fornire una prima copia gratuita delle informazioni in suo possesso.
Tuttavia, ai sensi dell’art. 12, par. 5, del GDPR, se le richieste sono manifestamente infondate o eccessive – in particolare per il loro carattere ripetitivo – il titolare del trattamento può addebitare agli interessati un contributo spese ragionevole, tenendo conto dei costi amministrativi sostenuti.
La richiesta può essere inoltrata non solo all’istituto ma anche per il tramite del responsabile per la protezione dei dati personali (RPD o DPO).
Tra l’altro si segnala che i dati di contatto del titolare e dell’RPD – i quali possono essere liberamente contattati in qualsiasi momento dagli interessati – devono essere riportati nelle informative della scuola e sul sito web istituzionale.
Una volta inviata la domanda, spetta poi al titolare valutare se effettivamente i dati personali indicati siano o meno oggetto di uno o più trattamenti.
In caso di esito negativo, il titolare deve comunque inviare una risposta all’interessato confermando che nessun dato è oggetto di trattamento.
In caso di esito positivo, invece, deve garantire a chi ne fa richiesta l’accesso ai dati.
La maggior parte delle volte le informazioni da fornire sono già contenute nell’informativa privacy o nel registro dei trattamenti.
Nel valutare la richiesta di accesso, il titolare deve anche considerare se può essere lesiva dei diritti e delle libertà altrui, o causare un pregiudizio effettivo e concreto allo svolgimento di indagini difensive o all’esercizio di un diritto in sede giudiziaria.
In questi casi, il titolare può non dar seguito alla richiesta di accesso ai dati.
Come le scuole devono gestire le richieste di accesso ai dati personali
L’European Data Protection Board (EDPB) nelle Linee Guida 01/2022 relative al diritto di accesso dell’interessato ai propri dati personali, ha specificato come deve essere gestita da parte del titolare del trattamento una richiesta di accesso.
Le scuole, in pratica, devono valutare:
- se la richiesta riguarda dati personali relativi al soggetto che la inoltra
- se l’accesso in questione rientra nel campo di applicazione dell’art. 15 del GDPR, o se rimanda a disposizioni normative più specifiche che regolano l’accesso in un certo settore (si sottolinea che il diritto di accesso “privacy” è diverso dal diritto di accesso ai documenti amministrativi regolamentato dalla Legge n. 241/1990, ad esempio, esercitato per accedere a compiti in classe, esami, verbali, atti relativi alla formulazione di graduatorie, ecc.)
- se la richiesta di accesso si riferisce a tutti o soltanto a una parte dei dati trattati appartenenti al soggetto in questione
Infine, la normativa e le Linee Guida evidenziano alcune limitazioni e restrizioni al diritto di accesso, affermando che:
- il diritto di ottenere una copia dei dati oggetto di trattamento non deve ledere i diritti e le libertà altrui
- il titolare può respingere, dopo averle personalmente comprovate, le richieste “manifestamente infondate” o “eccessive” (art. 12, n. 5)
- restrizioni al diritto di accesso possono anche essere previste dal diritto nazionale degli Stati membri, come sancito dall’art. 23 del GDPR
La scuola che non risponde alla richiesta di accesso nei termini di legge: il provvedimento del Garante privacy
La scuola deve obbligatoriamente rispondere alle richieste di accesso entro un mese dalla ricezione delle domande, salvo eventuali proroghe nei casi previsti dall’art. 12 del GDPR.
Il termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero di dati oggetto della richiesta.
In caso di mancato riscontro (o riscontro negato), l’interessato può inoltrare un reclamo al Garante o ricorrere all’Autorità giudiziaria.
È quanto fatto da un genitore, che ha contattato l’Autorità dopo che una scuola non ha dato seguito a una sua richiesta di accesso ai dati.
A seguito di tale reclamo, il Garante si è pronunciato con specifico provvedimento n. 437 del 16 dicembre 2021, affermando che “L’art. 12 del Regolamento prevede che il titolare del trattamento debba fornire all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 del Regolamento senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa (par. 3). Se non ottempera alla richiesta dell’interessato, il titolare del trattamento deve informare l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale (par. 4)”.
Inoltre l’Autorità ha riconosciuto che la scuola ha posto essere un trattamento illecito “per non avere tempestivamente fornito riscontro alla richiesta di esercizio del diritto di accesso ai dati personali presentata dal reclamante e per non aver tempestivamente informato lo stesso dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale, in violazione dell’art. 12, parr. 3 e 4, del Regolamento”.
Le scuole non devono perciò sottovalutare le richieste di accesso ai dati personali provenienti da genitori, alunni, dipendenti scolastici e fornitori, a cui devono dare rapido e immediato riscontro.
Chi ritiene che i propri diritti non siano rispettati si rivolgerà quasi sicuramente al Garante o all’Autorità giudiziaria, con conseguenze pregiudizievoli per l’istituto, quali ad esempio ispezioni, controlli inattesi, e provvedimenti sanzionatori.