Il trattamento dei dati personali in ambito scolastico implica una serie di problematiche su più livelli: da quelle relative alla struttura tecnologica e alle modalità operative interne, a quelle legate sicurezza e alla consapevolezza nell’utilizzo degli strumenti a disposizione delle organizzazioni.
Oltre a ciò non si deve dimenticare che nell’ambito scolastico, più che in altri contesti, è proprio l’origine del dato personale a portare con sé rischi elevati, in quanto, quasi sempre, riguarda minorenni.
Tutti questi fattori implicano il rischio di data breach ogni qualvolta un istituto scolastico pone in essere certe attività e rendono ancor più evidente come i temi della privacy e della sicurezza informatica in ambito scolastico in particolare dopo l’entrata in vigore del Gdpr, vanno analizzati e recepiti non come gravose incombenza, ma come occasione di sviluppo di un’etica organizzativa.
L’impatto del Gdpr in ambito scolastico
Ad un primo contatto con il nuovo Regolamento europeo sulla protezione dei dati personali (Reg. Ue 2016/679 – GDPR), molti istituti scolastici e Pubbliche Amministrazioni hanno ritenuto di trovarsi di fronte solamente a nuove e ulteriori incombenze rispetto alle ordinarie attività quotidiane, con la percezione che la privacy altro non fosse che un nuovo ostacolo per rendere ancor più farraginosa la macchina pubblica, già gravata dai problemi di organico, dai pochi finanziamenti e da attività formative costanti su adempimenti di ogni genere.
Solo in seguito a un più approfondito esame della disciplina europea e nazionale e alla concreta applicazione della stessa all’interno delle organizzazioni, ci si è accorti che quanto richiesto non fosse un incombente prettamente formale, quanto piuttosto un punto di approdo, sì difficile da raggiungere, ma non irraggiungibile.
Nella maggior parte dei casi, tuttavia, oltre ad un adeguamento da un punto di vista documentale, le problematiche maggiori, su cui oggi, più di prima, è richiesta una concreta attenzione nel campo della gestione dei dati personali, sono emerse in merito alle modalità di utilizzo delle nuove tecnologie e in merito alla gestione dei sistemi digitali, oltre che sul piano della formazione.
Gdpr e uso della tecnologia in ambito scolastico
Se si volesse leggere solamente il contributo legislativo nazionale, essendoci stata una riformulazione del vecchio art. 96 del Codice Privacy, tramite l’art. 7 del D.Lgs n. 101/2018, e l’abrogazione dell’art. 95, parzialmente confluito nell’art 2-sexies, in realtà, sotto il profilo normativo, l‘ambito dedicato all’Istruzione non sembrerebbe particolarmente sconvolto.
Ciò, chiaramente, è vero solo in parte, in quanto il problema reale per gli istituti scolastici è la ricezione delle novità contenutistiche-sostanziali e di approccio che il Regolamento Europeo, integralmente inteso, impone ai suoi destinatari.
Un esempio di ciò è la necessaria analisi dei rischi che i trattamenti sui dati personali effettuati comportano sui diritti e le libertà degli interessati, che inevitabilmente richiede un’analisi anche dei sistemi informatici e delle misure tecniche di sicurezza predisposte. Solo questo aspetto, in un contesto scolastico, potrebbe condurre a evidenziare gravi carenze di strumenti e a richiedere spese ingenti. Oltre a ciò, vi è poi la necessità di far fronte al trattamento dei dati personali tramite procedure organizzative apposite, anche al fine di ottenere l’impegno di tutti i dipendenti, preliminarmente formati in tal senso dal Titolare, al fine di scongiurare potenziali violazioni di dati personali.
Questi ultimi due aspetti, la struttura tecnologica e le modalità operative interne, rappresentano il problema principale di ogni istituto.
Vi è da considerare poi un’altra questione.
Riservatezza, integrità e disponibilità dei dati
Quando si parla di protezione dei dati personali, per abitudine, si è sempre orientati a pensare a qualcosa che riguarda solamente la riservatezza degli stessi. In realtà la riservatezza è solo uno degli aspetti che vengono tutelati dalle nuove norme sul trattamento dei dati personali. Infatti, il Regolamento Europeo, così come la disciplina interna, sono diretti a individuare i presupposti per considerare legittimi i trattamenti dei dati personali compiuti dalle organizzazioni. Conseguentemente non può essere fatta una valutazione soltanto per ciò che concerne la riservatezza dei dati, in quanto le norme prevedono la necessità di approfondire anche gli aspetti dell’integrità e della disponibilità degli stessi.
Per raggiungere questo ambizioso obiettivo e per potersi allineare alla nuova normativa europea, nel rispetto del principio dell’accountabilty, è importante attuare un percorso diretto, inevitabilmente, anche ad un incremento dei livelli di sicurezza e di consapevolezza nell’utilizzo degli strumenti a disposizione delle organizzazioni.
In particolare quest’ultimo aspetto è quello che richiede maggiore attenzione, infatti, con l’avvento delle nuove tecnologie, le distanze tra le persone si sono accorciate e il tempo per svolgere le attività quotidiane si è fortemente compresso. Contestualmente, però, non sempre siamo bene informati in merito alle potenzialità e ai rischi che questi strumenti possono comportare se utilizzati con leggerezza.
Un esempio di ciò, è l’utilizzo indebito, per comunicazioni o attività scolastiche, degli account mail personali, ovvero gli account utilizzati nei dispositivi domestici e utilizzati da vari componenti della famiglia dove si ricevono newsletter, mail di spam o comunicazioni inerenti le iscrizioni effettuate a molteplici servizi online nel corso del tempo. Prassi parecchio diffusa e connessa magari alla poca funzionalità dei mezzi istituzionali, ma che espone i dati personali a diversi rischi, quali potenziali divulgazioni o sottrazioni di dati in caso di errore umano o in caso di truffe informatiche. Solo a titolo esemplificativo, ad oggi, gli indirizzi mail sono i primi forieri delle truffe denominate phishing.
Un altro dei problemi costanti nelle prassi scolastiche è l’utilizzo del proprio smartphone personale, da parte del personale docente, anche per comunicazioni inerenti aspetti scolastici, magari sollecitati da uno o più genitori, come nell’ipotesi di richiesta di invio di informazioni personali dei loro figli. È sufficiente immaginare la foto o il video di un ragazzo/a effettuato dal personale docente, magari per documentare una situazione. Ciò può comportare una conservazione non autorizzata di quei dati nel proprio telefono e nei telefoni di tutti i partecipanti in caso di invio in una conversazione di gruppo, oltre che un trasferimento all’estero in caso si utilizzino le diverse applicazioni di messaggistica.
La peculiarità del dato personale in ambito scolastico
Nell’ambito scolastico, forse più di altri, è proprio l’origine del dato personale a portare con sé rischi elevati, in quanto, quasi sempre, è connesso a persone minorenni. Oltre a ciò, fra le categorie di dati trattati relative a un minore, gli istituti scolastici trattano dati che, rivelano l’origine etnica, a volte anche religiosa, e necessariamente dati relativi alla salute. Di conseguenza gli istituti scolastici e i loro Responsabili per la protezione dei dati, ancor prima di iniziare un percorso documentale di conformità, è opportuno che inizino un percorso formativo idoneo a comprendere le complessità del contesto e le implicazioni che le stesse hanno sul trattamento dei dati personali.
Non si può non prendere in considerazione, oltretutto, che l’ambiente scolastico è costantemente sollecitato da numerosi incombenti normativi, amministrativi-organizzativi e che deve far fronte quotidianamente alle difficoltà di gestione di un numero importante di alunni minorenni, di genitori e di dipendenti. In questo senso, spesso, si sono sviluppate delle prassi nell’ottica della funzionalità e della praticità, che oggi, dopo l’avvento del Regolamento europeo in materia di protezione dei dati, provocano numerosi dubbi di conformità.
Si pensi ad esempio alla pratica diffusa di inserire sull’homepage del sito istituzionale l’elenco degli alunni divisi per classi.
Tale pubblicazione, se avviene senza il consenso dei genitori, può integrare una divulgazione non autorizzata, oltre che comportare un’esposizione dei nomi degli alunni all’indicizzazione sui motori di ricerca. Ciò significa che in caso qualcuno volesse, per un qualsiasi motivo illecito, cercare quel minore, che magari ha un nome poco comune, lo potrebbe trovare semplicemente scrivendo il suo nome e cognome su internet. Uno dei concetti che il Regolamento europeo sulla protezione dei dati vuole sviluppare e tutelare è che la problematica dei dati personali non concerne necessariamente solo il dato personale in quanto tale, ma molto più spesso riguarda il contesto in cui un dato si inserisce. Contesto che, a volte, è sconosciuto a chi effettua una qualsiasi operazione di trattamento.
Tale divulgazione, che fino a oggi è stata pratica quanto mai diffusa – anche se da tempo rimproverata dall’Autorità Garante[1] – dopo il 25 maggio 2018 assume i crismi di un potenziale data breach.
La sicurezza degli strumenti digitali
Oltre a quanto sopra espresso non si può non far menzione della necessaria valutazione da svolgere sulla propria infrastruttura informatica e sulla relativa gestione. Ciò, se non altro, in quanto molte attività vengono svolte attraverso sistemi informatici che mediante il loro utilizzo conservano, quindi, dati personali, ivi compresi quelli particolari e quasi sempre relativi a categorie di interessati quali i minori.
Conseguentemente tali dati vengono conservati nei server e nelle postazioni computer, mentre, ad oggi, i fascicoli cartacei esistono soprattutto come duplicazioni delle stesse informazioni, in versione analogica. Ciò in quanto viviamo in un periodo intermedio, dove la transizione digitale non è stata ancora completata, per cui coesistono alcune attività che vengono svolte obbligatoriamente attraverso l’uso di sistemi digitali, mentre altre no.
Tuttavia, quasi tutti gli istituti scolastici devono far fronte anche a problemi di budget, per cui nonostante ormai da diversi anni si parli, per esempio, di digitalizzazione, registro elettronico o segreteria digitale, molto spesso gli istituti non hanno avuto la possibilità economica di provvedere all’adeguamento delle proprie misure di sicurezza tecniche o, ad ogni modo, non hanno avuto finanziamenti per poter investire in corsi di formazione del personale in tal senso.
È anche a causa delle predette carenze che gli istituti scolastici, oggi, devono lavorare ancora con macchine e strumenti ormai obsoleti. Va chiarito però che non tutti gli strumenti necessitano di essere acquistati ex novo, in quanto spesso molte postazioni computer sono utilizzate per laboratori o altre attività, per cui non necessitano di particolari implementazioni, non trattenendo dati personali. Ma è necessario, invece, investire sugli strumenti utilizzati per quelle attività che comportano un trattamento di dati personali.
Le macchine, quindi, utilizzate dal Dirigente scolastico, dal Direttore dei servizi generali e amministrativi e più in generale quelli utilizzati dagli uffici della segreteria, dovrebbero dotarsi di maggiori sistemi di sicurezza. Esempi, talvolta, banali di accorgimenti da implementare sono l’adozione di sistemi operativi in grado di essere aggiornati, avere antivirus e firewall funzionali, prevedere e predisporre una procedura di autenticazione personale che preveda l’utilizzo di password aventi caratteristiche adeguate o la possibilità di conservare le copie dei documenti relativi alle attività svolte su un server separato, dotato di un sistema di backup e, possibilmente, con gruppo di continuità.
Vi è da specificare che la corretta gestione dei profili autorizzativi degli utenti o anche una policy che preveda che le password non siano lasciate nella disponibilità di chiunque abbia accesso alle postazioni informatiche, sono accorgimenti che possono scongiurare anche ipotesi di reato, come per esempio l’accesso abusivo a sistema informatico, punito ai sensi dell’art. 615-ter cod. pen.
Anche le password devono essere sottoposte ad una valutazione di adeguatezza e pertanto non devono essere identiche per tutti i servizi e devono essere di una certa complessità, seppur evitando un eccesso in tal senso, in quanto un’eccessiva complessità provoca una complessa gestione.
Ovviamente in caso vi sia una ditta esterna che gestisce e mantiene l’infrastruttura informatica, con possibilità quindi di poter accedere ai dati personali della scuola, bisognerà regolamentare i reciproci ruoli quali Titolare (l’istituto) e Responsabile esterno del trattamento (la ditta esterna) con apposito contratto. In tale caso l’istituto avrà anche l’onere di fornire alla ditta esterna le istruzioni relative al trattamento dei dati che quest’ultima andrà a gestire nello svolgimento della sua attività. Ciò comporterà, quindi, che anche tutti i soggetti esterni agli istituti scolastici che gestiscono attività, per conto di questi ultimi, che comportano il trattamento di dati personali dovranno adeguarsi alla disciplina introdotta dal GDPR.
Di conseguenza, se è vero che il GDPR, a livello formale, richiede la predisposizione di una serie di documenti, quali, a titolo di esempio, le informative per le diverse categorie di interessati, il registro dei trattamenti, un’analisi dei rischi o una policy di protezione dei dati, è vero anche che tali documenti hanno ragion d’essere solo laddove vi sia una concreta conoscenza delle problematiche connesse alla gestione dei dati personali da parte del titolare.
In questo senso, il GDPR, se ben interpretato, non è da considerarsi mero adempimento formale, ma va analizzato e recepito quale occasione di sviluppo di un’etica organizzativa, che, seppur sotto certi aspetti può provocare una perdita in comodità, tuttavia può essere il giusto compromesso per permettere che si sviluppi, nella sede più opportuna, un nuovo ciclo di educazione alla protezione dei dati personali.
Gdpr e sicurezza digitale
Ai fini della precedente disamina, appare opportuno richiamare anche alcuni passaggi del documento che il MIUR ha pubblicato nel maggio 2018 in merito all’impatto del GDPR sul sistema scolastico.
Tra le questioni interessanti che il Ministero affronta c’è sicuramente la tematica connessa alla sicurezza digitale. Lo stesso documento spiega come ormai tutte le pubbliche amministrazioni, oggi, lavorino in una dimensione in cui l’azione amministrativa, come le informazioni o i dati trattati, sono caratterizzati da una gestione che, in certi casi, è addirittura digitale in ogni suo passaggio. Ciò significa che lo stesso documento amministrativo nasce come originale informatico, sottoscritto digitalmente, trasmesso telematicamente e, infine, conservato digitalmente. Tale approdo ha comportato la necessità di porre in essere degli adattamenti per far fronte ai nuovi rischi, senza tralasciare quelli esistenti anche nella dimensione cartacea.
Di conseguenza, affinché l’azione della PA possa garantire che le informazioni siano trattate nel rispetto delle norme, è fondamentale che i dati, i documenti e le informazioni siano trattate assicurandone – ove richiesto- disponibilità, riservatezza e integrità. Questi tre elementi, come già sottolineato nel precedente paragrafo, rappresentano il fulcro e l’obiettivo della sicurezza. Va comunque chiarito che i rischi che incombono sulla sicurezza dei dati variano anche con il variare degli strumenti utilizzati per il medesimo trattamento, di conseguenza i rischi che incombono sui dati trattati con modalità cartacee differiscono, per molti aspetti, dai rischi che incombono sui medesimi dati trattati con strumenti digitali.
Per tale motivo il tema della sicurezza informatica riveste un’importanza fondamentale e strategica. Ciò è ancor più evidente se si considera il costante aumento delle violazioni (più o meno rilevanti) ai sistemi informatici o le numerose perdite di dati e di informazioni dovute a comportamenti negligenti o imprudenti dei dipendenti pubblici o, ancora, a malfunzionamenti dei sistemi informatici o telematici.
Alla luce di quanto sopra, anche il MIUR pone l’attenzione su come con l’avvento del GDPR si assista a un netto cambio di prospettiva, che comprende anche la necessaria presa di coscienza della inutilità della predisposizione di un catalogo di misure minime di sicurezza. A ragione di ciò, l’attenzione viene spostata “sull’esigenza di avere una rinnovata responsabilizzazione degli attori principali del trattamento dei dati personali (titolare e responsabile del trattamento), costringendoli a prendere effettiva cognizione della necessità di attivarsi concretamente per garantire una efficace protezione dei dati personali che non sia più limitata a un asettico recepimento di una serie di obblighi preconfezionati di sicurezza (leggasi: misure minime di sicurezza).”
Con il GDPR, in pratica, si è chiamati a prestare maggiore attenzione sulla sicurezza effettiva, abbandonando così quella meramente apparente o formale. Questo cambio di direzione è da ricondursi essenzialmente, come già accennato, all’evoluzione della società oltre che all’evoluzione tecnologica, essendo i rischi incombenti sui dati direttamente proporzionali al sempre più diffuso utilizzo di strumenti informatici.
Proprio a ragione di ciò la sicurezza informatica è un elemento essenziale, diverso, ma in qualche modo integrante la disciplina del GDPR.
A tal proposito, il MIUR, nel documento pubblicato in materia di GDPR, si sofferma nello specificare che: “La sicurezza informatica, infatti, ha lo scopo di minimizzare i rischi che incombono sulle informazioni digitali (non solo sui dati personali in essi contenuti) andando a perseguire il raggiungimento di tre obiettivi: la confidenzialità (o, come l’abbiamo definita in precedenza, riservatezza), l’integrità e la disponibilità delle informazioni. La triade composta da confidenzialità, integrità e disponibilità delle informazioni (in inglese indicata con l’acronimo CIA, per Confidentiality, Integrity e Availability) rappresenta, quindi, il fulcro della sicurezza. La “confidenzialità” si riferisce a quell’insieme di regole che consentono di mantenere il controllo sull’accesso a determinate informazioni escludendo i soggetti non legittimati. Con il concetto di “integrità”, invece, ci si riferisce alle regole finalizzate a far sì che le informazioni i dati e documenti siano trattati in modo da prevedere, prevenire e ripristinare i sistemi informatici a seguito di eventi accidentali o volontari in grado di compromettere o alterare indebitamente i sistemi o i dati in esso contenuti. La “disponibilità”, infine, si riferisce alle regole e agli accorgimenti attraverso i quali mantenere i sistemi informatici e telematici costantemente operativi, affidabili, funzionali e accessibili.”
In realtà, il GDPR, per poter tutelare questi tre aspetti, richiama l’esigenza di porre in essere delle misure “adeguate” che non limitino il loro ambito di applicazione agli aspetti tecnici, ma che si estendano anche agli aspetti organizzativi del titolare o del responsabile del trattamento.
Tuttavia, nella continua attività di ricerca delle misure tecniche e organizzative adeguate, ai sensi dell’art. 32 GDPR, e nell’attività di adattamento e adeguamento al rischio incombente sui dati personali trattati, è importante valutare i parametri individuati dallo stesso GDPR, ovvero lo stato dell’arte, i costi di attuazione delle misure, la natura, l’oggetto, il contesto e la finalità del trattamento, oltre che il rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
Soprattutto i primi criteri possono essere un motivo ragionevole per evitare di costringere singoli istituti a implementazioni eccessivamente costose e magari non necessarie.
L’art. 32 del GDPR, inoltre, individua, anche se a evidente titolo esemplificativo, anche alcune misure che il titolare o il responsabile possono adottare nel loro approccio al rischio. Tra queste vi sono: la pseudonimizzazione, la cifratura dei dati personali; la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico e una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Va comunque specificato che tali misure non devono essere solo adottate, ma è necessario che siano costantemente testate per verificare la loro capacità di far fronte alle mutevoli condizioni tecnologiche e organizzative.
Per individuare quali siano in concreto le misure, tecniche e organizzative, “adeguate” possono essere di supporto le norme e gli standard internazionali, come le normative ISO, che individuano proprio i presupposti per adottare, attuare, mantenere e migliorare in modo continuo un sistema di gestione per la sicurezza delle informazioni all’interno di un’organizzazione, comprendendo anche i requisiti per valutare e trattare i rischi concernenti la sicurezza delle informazioni, adattati alle peculiarità dell’organizzazione stessa. La sicurezza, infine, è un processo in continua evoluzione e adeguamento, che deve tenere in considerazione diversi elementi, tra cui l’analisi del rischio, la valutazione di quel rischio, l’individuazione delle misure adeguate, le istruzioni ai soggetti che trattino i dati personali per conto del titolare (o del responsabile), il monitoraggio e la valutazione dell’adeguato livello di sicurezza e l’eventuale implementazione di azioni correttive.
Il data breach secondo il GDPRA seguito di una violazione di dati personali (data breach) è prevista una procedura specifica e molto delicata. In realtà la notificazione e la comunicazione delle violazioni di dati personali, così come disciplinate agli artt. 33 e 34 del GDPR, non sono una totale novità in quanto con diversi provvedimenti l’Autorità Garante aveva, nel corso degli ultimi anni, già iniziato a prevedere questa procedura in specifici casi. Tuttavia il GDPR, oggi declina una disciplina più specifica prevedendo, in caso di violazione dei dati, un obbligo generale di notificazione all’Autorità Garante e, soprattutto, un obbligo, a certe condizioni, di comunicazione delle violazioni agli interessati. A livello normativo, il GDPR introduce all’art. 4, par. 12, la definizione di violazione dei dati: “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”. Come giustamente affermato anche dal MIUR, “La disciplina del data breach, pur essendo inquadrabile nell’ambito del risk management, riguarda chiaramente la gestione ex post degli eventi pregiudizievoli.” Di conseguenza, mentre finora si è parlato di adempimenti per gestire e minimizzare il rischio di eventuali violazioni, una volta che si ha a che fare con un data breach, partiamo dal presupposto che la violazione si sia già verificata, pertanto bisogna agire per attivare le contromisure finalizzate a minimizzarne le conseguenze. In generale si è in presenza di un data breach ogni qualvolta ci sia una violazione di dati personali che incida su uno dei tre aspetti relativi alla sicurezza, ovvero riservatezza, integrità e disponibilità dei dati personali. Occorre specificare che un data breach esiste in quanto tale, indipendentemente dalla sua imputabilità o dalle sue cause. Pertanto è irrilevante, ai fini dell’obbligo di notifica o di comunicazione, che l’evento sia imputabile ad azioni di terzi (per es. attacco informatico) o che sia invece meramente accidentale. Entrando nel merito dell’obbligo di notifica all’Autorità Garante, va chiarito che è previsto in tutte le ipotesi di violazione dei dati personali, fatta eccezione per l’ipotesi in cui sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche. In quest’ultimo caso, dunque, non occorrerà procedere alla relativa notifica. Valutazione questa che dovrà essere fatta di volta in volta in base al caso specifico. In caso si valuti di dover procedere alla notifica, questa dovrà essere fatta senza ingiustificato ritardo, ovvero entro settantadue ore dal momento in cui si ha avuto conoscenza dell’avvenuta violazione. In caso di ritardo nella notifica, occorrerà specificare i motivi del ritardo. A livello contenutistico la notifica dovrà prevedere: la descrizione della natura della violazione e, se possibile, le categorie e il numero approssimativo di interessati coinvolti; la comunicazione del nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; la descrizione delle probabili conseguenze della violazione; la descrizione delle misure adottate, o in fase di adozione, per rimediare alla violazione e, laddove possibile, per attenuarne i possibili effetti negativi. In caso tutte queste informazioni non si possano fornire contestualmente, si potranno anche fornire in fasi successive, adducendo i motivi del ritardo. Ciò permette di poter assolvere all’obbligo di notifica nelle settantadue ore, specificando meglio le modalità di intervento in un successivo momento. Tutte le violazioni di dati personali subite devono essere documentate dal Titolare, o dal responsabile, in un apposito registro comprensivo delle circostanze, delle conseguenze e dei provvedimenti adottati per porvi rimedio. Questo documento può essere oggetto di verifica da parte dell’Autorità Garante, in quanto elemento ulteriore di accountability. All’obbligo di notifica, poi l’art. 34 del GDPR aggiunge una novità assoluta per le pubbliche amministrazioni, ovvero l’obbligo della comunicazione del data breach anche all’interessato. Ciò è previsto solamente nei casi in cui la violazione rappresenti un rischio elevato per i diritti e le libertà delle persone fisiche. In tali casi la comunicazione è da effettuarsi “senza ingiustificato ritardo”, e deve descrivere la natura della violazione con un linguaggio chiaro e preciso. Anche in questo caso la comunicazione ha un contenuto minimo, costituito, oltre che dalla descrizione della natura della violazione, anche dal nome e dai dati di contatto del responsabile della protezione dei dati (o di altro punto di contatto presso cui ottenere più informazioni); dalla descrizione delle probabili conseguenze della violazione; dalla descrizione delle misure adottate (o di cui si propone l’adozione) per porre rimedio alla violazione e anche, se del caso, per attenuarne i possibili effetti negativi. Tale comunicazione, innegabilmente oggetto di potenziale problema reputazionale, può essere evitata se sono state messe in atto, e applicate ai dati oggetto di violazione, misure tecniche e organizzative adeguate di protezione. Un esempio è il caso dell’implementazione della cifratura, per cui si rendono incomprensibili i dati personali a chiunque non abbia la chiave per accedervi. Un’altra ipotesi è che il titolare adotti successivamente misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati. Infine vi è anche l’ipotesi in cui la comunicazione richiederebbe sforzi sproporzionati. Tuttavia, a livello reputazionale, probabilmente le conseguenze sarebbero anche peggiori in quanto si dovrà comunque procedere a una comunicazione pubblica o ad altra misura simile. Può anche succedere che l’Autorità Garante stessa richieda di effettuare la comunicazione, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato. Su tale procedimento il MIUR ha espresso il seguente parere: “questi obblighi impongono comunque particolare attenzione, e l’adozione di strumenti capaci non solo di prevenire ma anche di rilevare le violazioni di dati personali e di acquisire tutte le informazioni necessarie, in modo da essere in grado, nei tempi stretti imposti dalle norme, di approntare in maniera corretta la notifica e, se del caso, la comunicazione agli interessati. In ogni caso, tutte le attività vanno scrupolosamente documentate, se del caso istituendo (pur non essendo un obbligo) un registro delle violazioni, ove documentare tutti gli eventi, comprese quelle violazioni di sicurezza che si è ritenuto di non notificare o non comunicare”. |
Esempi di potenziali data breach nel mondo scolastico
Tra le potenziali violazioni di dati che possono riguardare il mondo scolastico, oltre a quanto già indicato nel corso dei precedenti paragrafi, vi sono anche diverse pratiche ad oggi largamente diffuse.
Un primo esempio nasce dalla necessità di svolgere l’attività scolastica anche attraverso dei dispositivi esterni ai sistemi informatici dell’istituto, a volte anche a casa. Per far ciò la maggior parte delle volte vengono utilizzate pennette di archiviazione personali per trasferire dati, immagini o elaborati, al fine di ottimizzare il lavoro. Al netto del fatto che difficilmente i dirigenti scolastici hanno espressamente vietato tale pratica all’interno di un regolamento interno, così funzionale e comune, è del tutto evidente che in caso di perdita/furto della pennetta di archiviazione o addirittura di danno causato dalla divulgazione non autorizzata di quelle immagini, ci si troverebbe in presenza di un data breach, le cui conseguenze dovrebbero essere valutate nel caso concreto.
Un secondo esempio è connesso alla creazione di gruppi WhatsApp con i genitori, da parte dei docenti, per le comunicazioni con le famiglie, in quanto prassi sicuramente funzionale, che tuttavia non tiene conto di alcuni aspetti, come il fatto che creare un gruppo significa condividere certamente numeri telefonici, informazioni di varia natura e spesso immagini dei partecipanti. L’esempio calzante è quello che può accadere durante le gite scolastiche, ove spesso capita che i genitori richiedano di essere costantemente informati sull’andamento delle stesse.
In quest’ottica, anche se il numero telefonico che crea una conversazione di gruppo è del singolo professore, e quindi parrebbe trattarsi di attività di natura personale, è anche vero, però, che questa viene svolta nell’ambito della sua qualifica di professore, pertanto, sarebbe opportuno che lo stesso chieda l’autorizzazione a creare predetta conversazione. Anche perché per la creazione del gruppo utilizzerà i numeri di telefono acquisiti in qualità di professore, ma renderà accessibile a tutti i genitori il numero degli altri. Per via di tutte queste problematiche è sempre preferibile usare strumenti istituzionali per le comunicazioni, evitando, salvo casi eccezionali, l’utilizzo di strumenti personali e comunque preferendo sempre comunicazioni dirette esclusivamente alla singola persona interessata.
Un altro caso è quello delle comunicazioni ad altri istituti degli elenchi con i nominativi degli studenti iscritti, in modo che tali istituti possano contattare il minore e i suoi genitori al fine dell’orientamento formativo dello studente.
Va chiarito subito che senza il consenso del ragazzo/genitore ciò non deve accadere. Tuttavia, sarebbe molto più funzionale organizzare presso l’istituto eventi informativi diretti all’orientamento degli studenti durante i quali gli istituti possono venire in contatto con gli studenti e i genitori, oppure far arrivare direttamente alla scuola il materiale informativo che sarà successivamente distribuito. Ovviamente, oltre ad essere un’attività non supportata da alcuna base giuridica e quindi tendenzialmente non conforme al Regolamento, anche tale attività deve sottostare al principio più generale che meno informazioni riguardanti i ragazzi vengono comunicate all’esterno, meno rischi si corrono rispetto alla conformità al GDPR.
Altra problematica è quella dell’utilizzo da parte degli studenti dei telefoni cellulari personali a scuola. È fatto notorio che l’età in cui un soggetto dispone di un dispositivo mobile, negli ultimi anni, si è abbassata notevolmente. Conseguentemente oggi giorno molti alunni dispongono di uno smartphone e la realtà è che non si può costringere un ragazzo a non portare il cellulare a scuola. Quello che però si può fare è prevedere nel Regolamento interno dell’istituto che in classe ne sia vietato l’utilizzo durante l’orario di lezione.
La normativa sulla protezione dei dati, poi, inevitabilmente si interfaccia con tutte le altre norme che regolamentano non solo il mondo scolastico, ma anche quello degli enti pubblici, tra le quali il D.lgs n. 33 del 2013 rubricata “Disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni”. In tale contesto potrebbe sorgere qualche dubbio in merito alla gestione e pubblicazione dei curricula professionali di soggetti esterni all’istituto che partecipano ad iniziative della scuola per la quale la norma stabilisce la pubblicazione dei curriculum.
Un orientamento ormai “granitico” dell’Autorità Garante è descrivibile nei seguenti confini. Prima di pubblicare, e quindi diffondere, sul sito istituzionale i curricula, il Titolare del trattamento deve operare un’attenta selezione dei dati in essi contenuti, anche, eventualmente, predisponendo modelli omogenei e impartendo opportune istruzioni agli interessati, che, in concreto, possono essere chiamati a predisporre il proprio curriculum in vista della sua pubblicazione per le menzionate finalità di trasparenza.
In tale prospettiva, sono pertinenti le informazioni riguardanti i titoli di studio e professionali, le esperienze lavorative (ad esempio, gli incarichi ricoperti), nonché ulteriori informazioni di carattere professionale come le conoscenze linguistiche oppure la partecipazione a convegni e seminari, o la redazione di pubblicazioni. Quello che, invece, non deve essere pubblicato sono i dati eccedenti rispetto alla finalità, quali, ad esempio, i recapiti telefonici o personali, come anche il codice fiscale, in quanto dati forieri di potenziali furti di identità.
Non è semplice, dal 25 maggio 2018, escludere che si sia in presenza di data breach ogni qualvolta un istituto scolastico pone in essere certe attività, senza preoccuparsi di regolarizzare il procedimento che porta all’attività stessa, come nel caso della pubblicazione sul sito dei nominativi degli studenti senza una base giuridica o la pubblicazione su canali pubblici della piattaforma Youtube di foto o video di alunni minorenni senza il consenso dei genitori o, perfino, nell’esempio dell’utilizzo delle pennette di archiviazione personali per trasportare dei dati degli alunni, senza la premura di proteggere i file con una password o pseudonimizzando i dati copiati.
L’importanza della formazione
Si può certamente anche sostenere che uno dei problemi legati al GDPR della scuola di oggi sia una mancanza di piena consapevolezza delle potenziali conseguenze dell’utilizzo di certi strumenti, in particolare quelli informatici, ma non va dimenticato che la scuola è chiamata ogni giorno ad affrontare le problematiche di una società che continua a evolversi e a frammentarsi. Oltre a ciò, non si può non considerare che abbiamo una realtà in cui, mediamente, il primo smartphone viene regalato a un ragazzo tra i nove e gli undici anni, mentre ci sono adulti che non hanno avuto la possibilità di sviluppare una cultura “digitale” tale da possedere gli strumenti per provare a prevenire eventuali problematiche, anche di carattere psicologico, connesse al mondo tecnologico.
Pertanto, la sfida di ogni Responsabile della protezione dei dati che si approccia agli istituti scolastici, oltre che di carattere tecnico-normativo e, in certi casi, documentale, non può che essere concentrata sull’aspetto relativo alla formazione. Creare consapevolezza in persone abituate a lavorare con un determinato metodo non è cosa facile. Sicuramente far leva sulle responsabilità che ricadono sul Titolare e i mezzi disciplinari che lo stesso ha nei confronti dei suoi Autorizzati può essere importante. Certamente dovranno essere redatti degli aggiornamenti dei regolamenti interni degli istituti così da poterli allineare alla nuova disciplina relativa al trattamento dei dati personali ove potranno essere delineate nuove regole e relative responsabilità.
Ad ogni modo, la formazione è un momento fondamentale, purché sviluppata correttamente e in conformità ai principi forniti dal GDPR.
La formazione è il primo mezzo per cercare di far sì che si sviluppi un’educazione in tema di protezione di dati personali nel luogo in cui l’educazione è lo scopo principale, ma per tutto quanto sopra esposto, non può essere focalizzata solo su un’elencazione di articoli e di adempimenti.
Nell’ambito scolastico più che in altri, a parere di chi vi scrive, ogni Responsabile per la protezione dei dati dovrebbe calarsi nella realtà del singolo istituto al fine di accompagnarlo verso una maggiore consapevolezza del significato della data protection, cercando, prima ancora di concentrarsi su ciò che la normativa richiede a livello documentale o su ciò che non si può fare nel rispetto del GDPR, di favorire soluzioni alle problematiche quotidiane nel rapporto con gli alunni e i loro genitori.
______________________________________________________________
- Provvedimento n. 383 del 6 dicembre 2012 ↑