Privacy, dal 25 maggio nuovo regolamento. Scuole pronte? Occhio al registro elettronico

di Avv. Marco Barone
ipsef

item-thumbnail

Il regolamento (UE) 2016/679 (“regolamento generale sulla protezione dei dati”) si applicherà a partire dal 25 maggio 2018. Ma riporta la data del 2016. In due anni di tempo, da quando è stato redatto, come sempre, in Italia, ci si è ridotti tutti all’ultimo momento.

Tra chi agisce autonomamente e chi aspetta indicazioni da parte del MIUR. Sul sito del Garante della Privacy puntualmente si pubblicano guide, vademecum ed indicazioni, ma la normativa è complicata. Le norme più delicate sono due. Quella che in base all’articolo 37, paragrafo 7, del Regolamento vuole che i soggetti pubblici e privati comunichino al Garante per la protezione dei dati personali il nominativo del Responsabile della Protezione dei dati, se designato.

Questa disposizione mira a garantire che le autorità di controllo possano contattare il Responsabile della Protezione dei Dati in modo facile e diretto, come chiarito nelle Linee guida sui Responsabili della Protezione dei Dati (RPD) adottate dal Gruppo Articolo 29 (WP243 rev. 01 – punto 2.6). Una figura che avrà responsabilità importanti. Dovrà essere formata ad hoc. E chi dovrà esercitarla nella scuola? La nuova norma dice anche che qualora il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione. Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui alla legge ed il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi.

L’altra questione assolutamente delicata è quella che riguarda quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili, o anche per una combinazione di questi e altri fattori), il regolamento 2016/679 obbliga i titolari a svolgere una valutazione di impatto prima di darvi inizio, consultando l’autorità di controllo in caso le misure tecniche e organizzative da loro stess individuate per mitigare l’impatto del trattamento non siano ritenute sufficiente – cioè, quando il rischio residuale per i diritti e le libertà degli interessati resti elevato.

Come ha evidenziato il Garante “ Le valutazioni d’impatto sulla protezione dei dati sono strumenti importanti per la responsabilizzazione in quanto sostengono i titolari del trattamento non soltanto nel rispettare i requisiti del regolamento generale sulla protezione dei dati, ma anche nel dimostrare che sono state adottate misure appropriate per garantire il rispetto del regolamento (cfr. anche l’articolo 24)5. In altre parole, una valutazione d’impatto sulla protezione dei dati è un processo inteso a garantire e dimostrare la conformità. A norma del regolamento generale sulla protezione dei dati, l’inosservanza dei requisiti stabiliti per la valutazione d’impatto sulla protezione dei dati può portare a sanzioni pecuniarie imposte dall’autorità Si tratta di uno degli elementi di maggiore rilevanza nel nuovo quadro normativo, perché esprime chiaramente la responsabilizzazione (accountability) dei titolari nei confronti dei trattamenti da questi effettuati. I titolari sono infatti tenuti non soltanto a garantire l’osservanza delle disposizioni del regolamento, ma anche a dimostrare adeguatamente in che modo garantiscono tale osservanza; la valutazione di impatto ne è un esempio.

Si precisa nella documentazione che ad esempio la valutazione di impatto non è richiesta in particolare, per i trattamenti in corso che siano già stati autorizzati dalle autorità competenti e non presentino modifiche significative prima del 25 maggio 2018, data di piena applicazione del regolamento. E nella scuola sarà necessaria? Ad esempio nei quesiti posti ad esempio tale valutazione sarebbe prevista per la seguente casistica: “Un’azienda che monitora sistematicamente le attività dei suoi dipendenti, controllando anche la postazione di lavoro dei dipendenti, le loro attività in Internet, ecc.”

Il problema neanche a dirlo si pone con lo strumento più controverso introdotto nella scuola. Dal 2012. Il registro elettronico che è diventato anche uno strumento di controllo nei confronti del lavoratore. Ad esempio le famiglie possono controllare se i voti vengono tempestivamente inseriti nel registro elettronico dopo una verifica, ci son stati procedimenti disciplinari perché ciò non è accaduto, a cause di rimostranze esercitate da genitori. O che dire di provvedimenti disciplinari partiti perché il lavoratore non ha firmato in tempo reale il registro elettronico?

Tale valutazione, quella d’impatto, che è molto impegnativa, è richiesta in particolare quando è necessaria una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche. Il DL 95 del 2012 prevedeva, come più volte denunciato, l’attuazione di un piano di dematerializzazione che mai è avvenuto nella scuola. Il Garante per la Privacy sulla pagella elettronica si era così espresso nel 2012: In attesa di poter esprimere il previsto parere sui provvedimenti attuativi del Ministero dell’istruzione riguardo all’iscrizione on line degli studenti, all’adozione dei registri on line e alla consultazione della pagella via web, il Garante auspica l’adozione di adeguate misure di sicurezza a protezione dei dati.”

Nulla è mutato da allora. Ma tutto rischia di mutare dal 25 maggio 2018 perché quello che ci si chiede è se le scuole sono pronte alla nuova normativa, se sono state messe nelle condizioni di garantire il trattamento dei dati in modo lecito, sicuro e conforme al nuovo regolamento e se il registro elettronico sarà conforme alla nuova normativa o meno ed in caso, cosa aspetta il Garante ad intervenire?

Versione stampabile
Argomenti:
anief anief
soloformazione