Chi siamo Formazione Tutoring Sostenitori Blog Contatti Cerca Accedi

La gestione dei dati nelle scuole: obblighi, pericoli e opportunità

Nov 22, 2022

Le scuole hanno in mano moltissimi dati personali sui bambini. Gestirli non è semplice, anche perché gli strumenti tecnologici usati dagli istituti offrono opportunità, ma aprono anche dei fronti di diffusione dei dati che prima non esistevano. Quali sono gli obblighi di legge per le scuole? E quali sono le opportunità e i pericoli del possedere i dati personali?

Alberto Scirè, avvocato specializzato in privacy, compliance e diritto intellettuale, ci mostrerà il lato più amichevole della gestione dei dati. Scopriremo che è possibile rispettare i diritti di ciascuno senza stress, basta acquisire la giusta mentalità.

  

 

In questo episodio:

00:00 Introduzione
04:50 Le basi della gestione dei dati personali a scuola
14:58 Come gestire le attività extrascolastiche
20:15 Alcuni esempi
32:43 L'obbligo del DPO e le sanzioni in caso di incidente
38:02 L'uso di telecamere di sorveglianza a scuola
41:58 La comunicazione dei risultati scolastici
46:30 Le collaborazioni con soggetti esterni alla scuola
50:08 Costruire una cultura del trattamento dei dati
51:52 Il caso delle 8254 richieste di accesso ai dati personali 
59:41 Il kit per le scuole e i contatti di Alberto Scirè

 

Le basi della gestione dei dati personali a scuola

È normale provare paura per qualcosa che non si conosce. Ecco perché comprendere le basi della gestione dei dati personali consente di abbassare i livelli di stress che spesso vengono alzati da questo tema: "La prima cosa che faccio quando mi rivolgo a un'azienda o a un'ente, - racconta l'avvocato Alberto Scirè, - è mettere in chiaro alcuni concetti fondamentali su che cosa sono i dati personali".

Cominciamo quindi a dividere i dati personali in due:

  • "dati comuni" come nome, cognome e codice fiscale;
  • e "dati particolari" (una volta chiamati sensibili) come lo stato di saluto e gli orientamenti religiosi o sessuali.
  • Entrambi questi dati si riferiscono a una persona che definiamo "interessato". 

Ora possiamo entrare di più nel merito degli istituti scolastici, che sono organizzazioni molto complesse e gestiscono molti dati sia su minori che su adulti.

  • Ogni istituto scolastico (non il Dirigente, ma l'istituzione nel suo complesso) ha un ruolo nella gestione dei dati personali: il ruolo di "titolare del trattamento". 
  • Secondo la normativa ogni scuola decide in autonomia mezzi e finalità del trattamento, ovvero gli strumenti con cui gestisce i dati e gli scopi per cui li usa.
  • Sempre secondo la normativa, ogni scuola deve nominare un esperto per la gestione dei dati, che in gergo si chiama "DPO" (Data Protection Officer) oppure, in italiano, "RPD" (Responsabile della Protezione dei Dati). 
  • Tutti gli operatori (gli insegnanti, il personale, i collaboratori, ecc.) sono considerati "persone autorizzate", devono essere nominati per iscritto e devono avere indicazioni precise e semplici su come si devono comportare. 
  • Tutte queste pratiche compongono quella che definiamo "accountability", ovvero la responsabilizzazione di tutti i soggetti che gestiscono i dati.

Dunque una scuola ha l'obbligo di gestire tutti i dati personali che raccoglie, anche quelli raccolti dai singoli insegnanti in classe. Questo potrebbe sembrare un compito enorme, ma diventa più facile da gestire nel momento in cui tutto il personale riceve istruzioni chiare su come comportarsi.

 

Come gestire le attività extrascolastiche

Una delle istruzioni fondamentali da dare è, ad esempio, non fare nulla che non sia espressamente autorizzato: se un insegnante gestisce i dati di una classe e ha un piano didattico da seguire ogni azione che compie all'interno di quell'ambito è autorizzata e non genera problemi. 

Ma come si fa a organizzare un'attività extrascolastica? In questo caso l'istituto ha il dovere di sottoporre un'informativa speciale per la raccolta dei nuovi dati. Queste attività possono infatti rientrare in un'informativa sulla gestione dei dati che tocchi i principali casi comuni alle attività extrascolastiche.

In questo modo, quando un insegnante decide di organizzare un'attività ha già pronta un'informativa speciale da distribuire alle famiglie per gestirla a norma di legge. 

Prevedendo le principali situazioni e stilando delle informative speciali la scuola può così gestire facilmente tutti i dati di cui entra in possesso in qualunque attività, perfino quelli particolari (o sensibili) come gli orientamenti religiosi, filosofici o sessuali. La normativa infatti prevede che le scuole siano autorizzate a gestire queste informazioni quando ci sono due requisiti fondamentali:

  • uno scopo, ovvero un motivo valido per esserne in possesso;
  • e un'informativa che spieghi alle famiglie i mezzi e le finalità del trattamento.

 

Alcuni esempi

Foto e video durante le lezioni

Il Garante della privacy ha stabilito che le lezioni possono essere fotografate e registrate per scopi didattici. Dunque l'insegnante o gli alunni sono autorizzati a registrare le lezioni, con queste tre accortezze:

  • deve esistere esiste una ragione legittima per farlo,
  • devono avvisare le persone che possono comparire nel filmato, nella registrazione audio o nella foto,
  • devono evitare di diffondere il materiale.

Dunque tutte le registrazioni fatte per usi personali (come supporto allo studio, ad esempio) sono consentite, mentre quelle fatte per essere diffuse no.

 

Recite scolastiche

Molti genitori registrano video e fanno fotografie con i cellulari, cosa dice il Garante della privacy in questi casi? La normativa è molto simile a quella per le registrazioni in classe: tutti i materiali prodotti per uso personale, non finalizzati alla diffusione, sono consentiti.

Dunque i genitori

  • possono registrare e fotografare la recita, conservare questi materiali e mostrarli ad amici e parenti senza violare la legge (in questi casi non si applica la legge sulla privacy);
  • ma non possono diffonderli, ad esempio pubblicando questi materiali sui social network o inviandoli su WhatsApp. Per poter diffondere i materiali serve infatti il consenso di tutte le persone che compaiono.

La scuola non è responsabile dei materiali prodotti dai genitori durante un evento che ospita. Dunque sta ai genitori conoscere e rispettare la legge e se non lo fanno non si può ritenere la scuola responsabile.

Al di là della responsabilità, però, può essere comunque utile ricordare al pubblico della recita cosa prevede la normativa, ovvero che sono consentite le riprese per uso personale ma non possono essere diffuse (a meno di non avere il consenso).

 

Raccolta di documenti d'identità

Spesso si gestiscono alcuni documenti (ad esempio per organizzare le gite scolastiche) attraverso delle deleghe che prevedono un documento d'identità in allegato. In questi casi il Garante della privacy non dà un'indicazione netta sulla legittimità di questa operazione, ma invita a porsi una domanda: allegare un documento d'identità è l'unico modo per verificare l'identità di quella persona? Ogni volta che è possibile immaginare un modo alternativo è consigliabile usarlo.

Quando non esiste un modo alternativo, bisogna gestire la raccolta dei documenti con attenzione in modo che non possano circolare tra persone non autorizzate.

Una delle pratiche da evitare assolutamente è la raccolta dei documenti attraverso una chat di gruppo su WhatsApp. In questo caso se uno dei partecipanti alla chat scarica i documenti e li usa per finalità illecite (come stipulare contratti con operatori telefonici, per esempio) la chat può diventare un elemento di indagine, di prova e di danno.

Un'accortezza che vale per tutte le volte che alleghiamo una fotocopia del documento d'identità è scrivere sul foglio il motivo per cui la stiamo diffondendo. Basta una frase semplice, come: "Finalizzato alla delega per portare mio figlio in piscina il giorno 24/11/2022". 

La scuola può eventualmente richiedere che una dicitura come questa venga sempre scritta quando si condivide un documento d'identità.

 

L'obbligo del DPO e le sanzioni in caso di incidente

Come abbiamo già anticipato, le scuole sono obbligate a dotarsi di un DPO (Data Protection Officer) oppure, in italiano, RPD (Responsabile della Protezione dei Dati). Questo si scontra con la difficoltà di avere una persona preparata al ruolo all'interno e con i fondi limitati per rivolgersi a un professionista. Dunque, capiamo meglio di cosa si tratta.

  • La soluzione migliore è sicuramente il professionista esterno, perché consente di rispondere prontamente e con sicurezza alle eventuali richieste. A volte si usa lo strumento del bando per scegliere un professionista che segua molte scuole a costi contenuti, ma questo può essere un problema nel caso avvengano molte richieste in contemporanea (come avvenuto a settembre quando l'associazione Monitora PA ha presentato via Pec un'istanza di accesso civico generalizzato a 8254 scuole per portare alla luce lo stato della gestione dei dati personali negli istituti).
  • Il DPO può anche essere interno all'istituto scolastico, ma per ricoprire adeguatamente il ruolo deve avere competenze legali e informatiche (potrebbero essere adatti, ad esempio, gli insegnanti di diritto o educazione civica). 
  • Ovviamente questa persona si troverebbe ad avere responsabilità importanti e la necessità di dedicare alcune ore di lavoro a questa attività, ore che spesso non ha a disposizione se non sottraendole all'insegnamento. Per questo nel caso di un DPO interno, anche se il ruolo deve essere ricoperto da una persona sola, è consigliabile comunque mettere insieme un piccolo team di persone (che magari comprenda anche il Dirigente scolastico) che possano attivarsi all'occorrenza nel caso di richieste.

Il fatto di avere un team di persone informate e in grado di attivarsi è anche un simbolo di buona volontà nel caso accadano incidenti. Infatti non esiste solo la sanzione economica, ma anche sanzioni alternative come l'ammonimento oppure un rimando a 90 giorni per la messa in atto di correttivi per evitare che l'incidente accada nuovamente. Queste sanzioni alternative vengono scelte quando il Garante della privacy riconosce la buona volontà nella gestione dei dati personali.

 

L'uso di telecamere di sorveglianza a scuola

Le telecamere di sorveglianza sono consentite dal Garante della privacy, con alcune indicazioni di buon senso.

  • Le telecamere fuori dall'istituto sono consentite 24 ore su 24, ma devono essere puntate solo su aree di effettivo interesse per la tutela del patrimonio o per la sicurezza delle persone.
  • Le telecamere sono consentite anche all'interno dell'istituto, sempre per motivi di effettivo interesse (come la presenza di opere d'arte, materiali tecnologici di valore o libri rari). In questo caso vanno però spente quando la scuola è aperta e frequentate dalle persone (possono restare accese, ad esempio, di notte o comunque nelle ore in cui l'istituto è chiuso).

In tutti i casi i filmati vanno conservati per il minor tempo possibile (al massimo 72 ore, indicativamente), ovvero per il tempo necessario a rendersi conto di un danno o un furto e dunque accedere al filmato.

Un'altra accortezza necessaria è segnalare con un cartello la presenza della videosorveglianza.

 

La comunicazione dei risultati scolastici

I risultati degli esami e degli scrutini sono pubblici, per legge, e la scuola ha l'obbligo di pubblicarli. Infatti vengono tradizionalmente pubblicati su tabelloni e bacheche nell'atrio della scuola. 

Quello che la scuola deve evitare, però, è diffondere informazioni non pertinenti. Se un alunno con disabilità ha ottenuto un voto in seguito a una prova differenziata, questa è un'informazione non pertinente e non va in alcun modo evidenziata durante la pubblicazione degli esiti scolastici (ad esempio per mezzo di un asterisco, come talvolta avviene).

In ogni caso i risultati scolastici sono informazioni pubbliche. Un alunno o un genitore, se lo desidera e se ha una motivazione, può perfino richiedere un accesso amministrativo per conoscere le valutazioni e altre informazioni aggiuntive sull'andamento scolastico.

 

Le collaborazioni con soggetti esterni alla scuola

Ogni istituto scolastico è libero di organizzare attività con soggetti esterni alla scuola, come enti o associazioni (avviene, ad esempio, per tutte le scuole che collaborano con Biella Cresce). In questi casi deve informare adeguatamente le famiglie e consentire a ciascuno di aderire oppure no all'iniziativa.

Una persona o una famiglia può anche aderire inizialmente e poi ritirare il consenso. Questo caso è previsto e legittimo e l'ente o l'associazione che collaborava con la scuola può continuare a gestire i dati di cui è entrata in possesso fino al momento in cui è stato ritirato il consenso.

 

Costruire una cultura del trattamento dei dati

Spesso consideriamo il trattamento dei dati personali come una serie di procedure burocratiche. Ma il nostro approccio può cambiare radicalmente se costruiamo una cultura e una sensibilità intorno a queste procedure.

Si tratta, insomma, di comprendere i motivi per cui serve attenzione nella gestione di certe informazioni e le conseguenze di una diffusione impropria per le persone interessate, e non solo i termini di sanzioni.

Il Garante della privacy e la Guardia di finanza, che effettua i controlli per conto del Garante, sono spesso molto rigidi quando si trovano di fronte a comportamenti maldestri. Ma sono altrettanto spesso disponibili al dialogo quando riscontrano l'esistenza di una sensibilità, quando si accorgono che l'istituto si è posto il problema di come gestire i dati e ha preso delle precauzioni (magari non adeguate, ma comunque esistenti).

 

Il caso delle 8254 richieste di accesso ai dati personali

A settembre l'associazione di attivisti sui temi della privacy Monitora PA ha presentato via Pec un'istanza di accesso civico generalizzato a 8254 scuole. l'obiettivo degli attivisti era portare alla luce lo stato della gestione dei dati personali negli istituti scolastici.

La posizione di Alberto Scirè sulla questione è ambivalente: "Da un lato gli attivisti hanno sollevato molti temi importanti negli ultimi anni e ha creato del bene. Dall'altro operazioni come questa rischiano di creare molti problemi e sottrarre tempo ad altre attività".

In particolare una delle richieste era sulle tecnologie usate dalle scuole durante i lockdown e i periodi di didattica a distanza e mantenute. Ogni istituto ha scelto un fornitore per gestire le lezioni a distanza e tra i ragionamenti avrebbe dovuto esserci anche la gestione dei dati personali degli alunni.

Un aspetto utile da tenere presente è che i principali fornitori (come Microsoft Teams o Zoom, per fare due esempi) forniscono nelle aree personali dei documenti di compliance utili a rispondere a queste richieste. Questi documenti consentivano di rispondere a una buona parte delle domande sollevate dagli attivisti.

Un altro aspetto da tenere in considerazione è non condividere sui servizi di cloud (come Google Drive) documenti sensibili. È vero che è molto comodo, ma spesso è meglio tenere questi documenti su server locali. Nel caso in cui siano su un cloud è meglio se sono protetti da password.

Questo aspetto è un paradosso, perché i cloud sono generalmente molto sicuri e hanno server in Europa (molti dei quali in Irlanda, ma a volte anche in Italia). Il problema è che essendo di proprietà di aziende statunitensi sono soggetti agli accessi delle autorità federali americane che possono essere fatti anche senza un controllo giudiziario, dunque senza tutela per i privati (come ha denunciato l'informatico e attivista Edward Snowden).

Per questo pubblicare dei dati su Google Drive o su altri servizi di cloud è equiparato al trasferimento all'estero dei dati personali. Ma ad oggi non esistono alternative europee, quindi ci si muove in una zona grigia.

Per questo è consigliabile proteggere con delle password i documenti sensibili condivisi sui servizi di cloud.

 

Il kit per le scuole e i contatti di Alberto Scirè

Avendo i genitori insegnanti, Alberto Scirè conosce la realtà delle scuole e ha preparato un kit per le scuole con i principali documenti necessari.

Per informazioni o consulenze i suoi contatti sono:

 

Link utili:

- Domande frequenti del Garante della privacy sulla scuola: https://www.garanteprivacy.it/home/faq/scuola-e-privacy 

- Documenti del Garante della privacy sulla scuola: https://www.garanteprivacy.it/temi/scuola 

- Vademecum del Garante della privacy (realizzato prima dell’applicazione del Regolamento UE 679/2016): https://www.garanteprivacy.it/scuola 

- Informazioni del Ministero dell'Istruzione: https://www.miur.gov.it/privacy-tra-i-banchi-di-scuola 

- Articolo "Privacy e scuola" del sito Protezione dati personali: https://protezionedatipersonali.it/privacy-e-scuola 

- Articolo "Corte dei conti – Dirigente scolastico risarcisce il danno per sanzioni privacy" del sito Acta Info: https://www.actainfo.it/news/scuola-dirigente-scolastico-risarcisce-il-danno-per-sanzioni-privacy/ 

 

💙 Facciamo squadra.

Questi contenuti e molti altri che pubblichiamo sono gratuiti anche grazie al sostegno dei nostri soci. Siamo felici che lo siano, perché contribuiscono a crescere insieme una generazione migliore. Se vuoi, puoi unirti noi.

 

🦫 Tutti i giovedì, alle 20.30.

Ogni giovedì alle 20.30, per un'ora, parliamo di un argomento interessante in diretta su YouTube e Facebook. La trasmissione si chiama L'approfondimento del giovedì e ci sono interviste, dibattiti e storie dal mondo dell'educazione. Puoi partecipare gratuitamente. Iscriviti alla nostra newsletter per non perdere il prossimo episodio.

 

🎓 Ottieni un attestato di partecipazione.

I nostri soci possono ottenere un attestato che certifica un'ora di formazione per ogni episodio dell' Approfondimento del giovedì. Trovi il link per ottenerlo nella tua area personale, in fondo al testo che accompagna ogni episodio. (Se ti serve, qui trovi un tutorial).

Close

Restiamo in contatto!

Iscriviti alla newsletter, ti aggiorneremo sulle nostre attività.