Il quesito posto questa volta alla nostra rubrica, tratta della Privacy nella scuola e ci consente di fare il punto su questo argomento.
«Ho saputo da una collega che in questi giorni l’Avv. Martinelli ha tenuto un incontro formativo sulla privacy presso un istituto scolastico– ci scrive la nostra lettrice Raffaella. Poiché insegno in altro istituto, e non ha mai partecipato a corsi di questo tipo e conosco poco la materia, potreste illustrarmi la normativa e informarmi su eventuali obblighi che mi riguardano direttamente come insegnante? Grazie anticipatamente.»
Risponde l’avv. Mariantonietta Martinelli, socia dello Studio Legale Sto.De.Mar.
Ringrazio la lettrice per avermi dato la possibilità di affrontare un tema molto interessante che, effettivamente, ho trattato in un incontro di formazione svoltosi presso l’Istituto Fornelli il 28 giugno scorso.
In Italia la cultura della privacy, tipica dei paesi anglosassoni, ha tardato ad affermarsi. La svolta si è avuta solo con la L. 31 dicembre 1996 n. 675 che per la prima volta ha dettato disposizioni organiche in materia, anche se subito è stata modificata, integrata, frammentata in una dozzina di atti normativi emanati in seguito.
Prima di tale legge la giurisprudenza, in particolare di legittimità, aveva in qualche modo supplito al vuoto normativo giungendo a affermare in alcune pronunce che l’interesse della persona a tutelare la propria immagine deve considerarsi posizione di diritto soggettivo, alla stregua dei principi fissati dall’art. 2 della Costituzione, in tema di difesa della personalità.
La normativa di tutela del trattamento dei dati personali è stata infine riunita in modo organico dal D.Lvo 30 giugno 2003 n. 196, noto ormai all’opinione pubblica come “Codice della privacy” che ha prescritto una serie di obblighi, comportamenti, procedure da attuare nel trattare i dati che riguardano la persona e ha altresì imposto di adottare una serie di misure tecniche, informatiche, organizzative, logistiche e procedurali tendenti a realizzare un livello di sicurezza proporzionato ai rischi previsti per il tipo di attività che viene esercitata, cercando di contemperare le esigenze dell’informazione con quelle della riservatezza.
La libertà personale, infatti, comprende anche il diritto alla riservatezza dei dati personali e, conseguentemente, anche il diritto al riconoscimento e alla pretesa che i dati personali siano tutelati attraverso meccanismi di difesa degli stessi.
Chiunque tratta, dunque, informazioni di altre persone deve rispettare alcuni principi fondamentali a garanzia della riservatezza dei dati stessi. In una società come la nostra in cui l’elemento primario è l’informazione, infatti, meritano estrema tutela, per la loro rilevanza, le informazioni personali.
I dati da trattare oltre che personali, cioè idonei a identificare la persona e a renderla riconoscibile (cognome, nome, indirizzo, codice fiscale ecc.), possono essere sensibili, possono cioè fornire delle ulteriori informazioni che aggiungono qualcosa in più ai dati personali (ad es. cosa pensa una persona in materia di religione, politica, sindacati, come sta in salute, che tendenze sessuali ha) o giudiziari, possono cioè rivelare l’esistenza di provvedimenti iscritti al casellario giudiziale ovvero la qualità di imputato o indagato di una persona o, i suoi carichi pendenti.
Il Codice della Privacy non vieta la detenzione dei vari dati relativi a una persona ma ne regola il loro utilizzo e il loro trattamento, stabilendo che essi devono essere protetti e non divulgati se non per finalità connesse con l’esercizio di un’attività lecita e, per taluni di essi, la circolazione può avvenire solo con il consenso dell’interessato.
Nel caso della SCUOLA, per rispondere più direttamente al quesito della nostra lettrice, il trattamento dei dati è consentito soltanto per lo svolgimento delle funzioni istituzionali che le sono proprie. E, il trattamento dei dati sensibili e giudiziari è consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati, le operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite (artt. 20 e 21). Il co. 2 dell’art. 20 stabilisce, poi, che l’identificazione deve avvenire con atto regolamentare adottato in conformità al parere espresso dal Garante.
Il Ministero della Pubblica Istruzione, in ossequio a tali disposizioni normative, ha adottato il Decreto 7 dicembre 2006 n. 305, un provvedimento importante e più volte sollecitato dal Garante che se non fosse stato emanato non avrebbe reso possibile, nelle scuole, il trattamento dei dati sensibili e giudiziari dopo il 28 febbraio 2007, data in cui scadeva l’ennesima proroga dei termini stabiliti in successivi provvedimenti da Parlamento e Governo.
In tale provvedimento sono specificati i tipi di dati che possono essere trattati nelle scuole, le operazioni che su di essi sono eseguibili, le finalità, di rilevante interesse pubblico, perseguite. E, l’art. 2, sancisce l’obbligo di trattare dati sensibili e giudiziari solo previa verifica della loro pertinenza, completezza, e indispensabilità rispetto alle finalità perseguite nei singoli casi, specie quando la raccolta non avvenga presso l’interessato.
Il testo del Regolamento, molto snello ed essenziale, è suddiviso in tre articoli, che richiamano il D. Lgs 196/2003, e in sette schede allegate che ne costituiscono parte integrante. In ciascuna scheda sono individuate le tipologie dei dati sensibili e giudiziari trattati nelle scuole sia nella gestione del sistema dell’istruzione, per il perseguimento delle finalità di rilevante interesse pubblico (art. 1 reg.) sia nella gestione del rapporto di lavoro con i docenti.
La scuola, infatti, oltre a svolgere l’attività di istruzione e formazione dei discenti, svolge anche il ruolo di datore di lavoro nel rapporto con i docenti e dunque tratta i loro dati nella selezione, nel reclutamento e nella gestione del rapporto di lavoro a tempo determinato o indeterminato.
Il Regolamento costituisce pertanto una guida obbligatoria a cui le scuole non possono derogare, anzi devono attenersi. Ogni scheda allegata consente, pertanto di individuare chiaramente i trattamenti consentiti, le finalità di rilevante interesse pubblico perseguite, le fonti normative, i soggetti esterni pubblici e privati cui è possibile comunicare i dati, i tipi di dati trattati e le tipologie più ricorrenti di trattamento.
La nostra lettrice Raffaella, dunque, dovrà attenersi scrupolosamente a quanto specificamente previsto in particolare dalla scheda n. 5 che riguarda l’attività educativa, didattica, formativa e di valutazione.
Nell’ambito scolastico i soggetti che effettuano il trattamento dei dati sono: i docenti, che trattano essenzialmente dati dei loro alunni, il dirigente che tratta dati del personale Direttivo, Docente e amministrativo, il personale ATA (amministrativo e ausiliario) che tratta sia dati degli alunni che dei docenti e di altri soggetti come, a esempio, i fornitori.
A norma dell’art. 31 del Codice della privacy i dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle cono-scenze acquisite in base al progresso tecnico, alla loro natura e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo i rischi di loro distruzione o perdita, di accesso non autorizzato ovvero il trattamento non consentito o non conforme alle finalità della raccolta, il tutto mediante l’adozione di idonee e preventive MISURE DI SICUREZZA.
Responsabili riguardo alle misure di sicurezza sono in primo luogo il titolare – cioè il dirigente scolastico– poi il responsabile del trattamento da lui individuato e infine gli incaricati – cioè ogni singolo docente.
Il principale obbligo riguarda l’adozione da parte dell’istituto scolastico, del Documento Programmatico sulla Sicurezza, una sorta di manuale in cui si analizza la situazione dell’istituzione e si organizzano le misure di sicurezza da adottare, le procedure a garanzia della sicurezza dei dati, la formazione del responsabile e dei vari incaricati, l’eventuale revisione e adeguamento del documento.
La finalità di tale documento è quella di definire i criteri e le procedure per garantire la sicurezza del trattamento dei dati personali. Occorre poi che il titolare (il dirigente) individui il Responsabile del trattamento e infine nomini gli incaricati (i docenti) approntando per loro delle linee guida da osservare nel trattamento dei dati e garantendo una adeguata formazione in materia.
Sicuramente la prof. Raffaella, per essere così interessata al problema, deve essere stata nominata incaricato dal suo Dirigente; nel trattare i dati dovrà quindi seguire apposite procedure come, ad esempio, custodire in apposito armadio dotato di serratura il registro personale, i certificati medici, qualunque altro documento contenente dati personali o sensibili degli alunni; custodire in apposito armadio chiuso o consegnare al collaboratore scolastico, al termine delle attività didattiche giornaliere, il registro di classe; seguire le istruzioni del docente responsabile dell’aula di informatica; consegnare tutte le comunicazioni agli uffici centrali, ad altro personale della scuola, al dirigente, in busta chiusa al responsabile di sede ovvero al protocollo; non utilizzare fax, posta elettronica e collegamenti alla rete interne; non lasciare floppy disk, cartelle o altri documenti a disposizione di estranei; non consentire a soggetti non autorizzati l’accesso ai dati, non richiedere informazioni finalizzate all’individuazione del profilo psicologico dell’alunno (descrizione di paure o disagi del minore) ovvero raccogliere informazioni sull’ambiente sociale e culturale di provenienza; verificare costantemente nell’espletamento della sua attività se determinate operazioni siano pertinenti e non eccedenti rispetto alla finalità di valutazione dell’alunno; osservare particolare cura e attenzione nel trattamento dei dati sensibili e trattarli solo se realmente indispensabili per valutare il processo formativo; informare chi esercita la potestà sull’alunno in merito al trattamento dei dati personali; rispettare le misure di sicurezza.
Raffaella ha diritto di ottenere dal Dirigente o dal Responsabile una copia del Documento programmatico di sicurezza e tutte le informazioni in materia che ritiene utili. Dovrà inoltre pretendere di ottenere una adeguata formazione in materia, al fine di essere responsabilizzata ed edotta sui pericoli e sulle responsabilità civili e penali derivanti dalla cattiva custodia dei dati o dal loro illecito trattamento.