Didattica integrata e privacy, Dirigente deve accertarsi che i dati degli studenti vengano cancellati dopo il progetto didattico. Indicazioni Garante

Stampa

Il Ministero in collaborazione con il Garante della Privacy ha elaborato un documento contenente i principali aspetti della disciplina in materia di protezione dei dati personali nella Didattica Digitale Integrata.

Il documento è stato elaborato da un Gruppo di lavoro congiunto Ministero dell’istruzione-Ufficio del Garante per la protezione dei dati personali con il fine di fornire alle istituzioni scolastiche linee di indirizzo comuni e principi generali per l’implementazione della DDI con particolare riguardo agli aspetti inerenti alla sicurezza in rete e alla tutela dei dati personali.

Nel documento si ricorda che è l’istituzione scolastica ad essere titolare del trattamento dei dati che deve effettuare le scelte migliori ai fini di un corretto trattamento dei dati personali del personale scolastico, studenti e loro familiari per la realizzazione della DDI. Tale scelta è effettuata del Dirigente scolastico, con il supporto del Responsabile della protezione dei dati personali (RPD), sentito il Collegio dei Docenti.

Tra i principi elencati nel documento troviamo quello relativo alla limitazione della conservazione dei dati.

Secondo quanto leggiamo, “il titolare del trattamento è chiamato ad assicurare che i dati non siano conservati più a lungo del necessario, ad esempio, disponendo che i dati siano cancellati al termine del progetto didattico.”

Dovrà essere il Dirigente scolastico, coadiuvato dal RPD, ad assicurarsi che il sistema scelto per la didattica a distanza, sia esso gestito direttamente dalla scuola o da una società esterna che fornisce la piattaforma, preveda il rispetto del termine per la conservazione e la successiva cancellazione dei dati.

Nel caso di soggetto esterno che erogherà il servizio DDI e gestirà i dati di personale scolastico, studenti e/o dei loro familiari per conto della scuola stessa, quest’ultima, in quanto titolare del trattamento dei dati personali, dovrà nominare tale soggetto come responsabile del trattamento con contratto o altro atto giuridico.

“Attraverso tale atto, – si legge – l’istituzione scolastica circoscriverà l’ambito, la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento, ricorrendo a fornitori che presentino garanzie sufficienti a mettere in atto misure tecniche e organizzative adeguate agli specifici trattamenti posti in essere per conto dell’istituzione stessa. In particolare, le istituzioni scolastiche dovranno assicurarsi che i dati trattati per loro conto siano utilizzati solo per la DDI, senza l’introduzione di ulteriori finalità estranee all’attività scolastica. Sarà, pertanto, necessario prevedere, nell’atto che disciplina il rapporto con il responsabile del trattamento, specifiche istruzioni sulla conservazione dei dati, sulla cancellazione o sulla restituzione dei dati al temine dell’accordo tra scuola e fornitore, nonché sulle procedure di gestione di eventuali violazioni di dati personali, secondo quanto disposto dal Regolamento.”

Diversamente, nei casi in cui le istituzioni scolastiche facciano ricorso a strumenti e piattaforme per la DDI gestite in via autonoma, senza il ricorso a soggetti esterni, non è richiesto alcun atto di nomina a responsabile del trattamento.

Tutto il documento

Stampa

Eurosofia. Aggiornamento Ata: corso di dattilografia a soli 99 euro. Iscriviti ora