Privacy: pubblicazione foto alunni, formazione personale, informativa alle famiglie. Risposte a quesiti

di redazione
ipsef

item-thumbnail

Lucio Lombardi, Responsabile della Protezione dei Dati personali, dopo 15 anni di esperienza nelle scuole ha raccolto per noi i quesiti più frequenti sulla tematica. 

Premessa

E’ convinzione diffusa, e pericolosa, che il DPO Responsabile della Protezione dei dati personali sia qualcuno che debba svolgere delle attività per conto del Titolare (disporre modulistica, formazione, ecc).

Il GDPR, invece, affida al DPO il compito opposto, ossia di “sorvegliare” che il Titolare svolga o faccia svolgere da qualcuno quelle attività (art.37).

L’unica attività che il DPO è chiamato a svolgere su richiesta del Titolare è la “consulenza”. Per il resto il DPO deve essere un “occhio” del Garante, con cui è obbligato a cooperare (art.37 c.1 d). Per il resto deve essere del tutto autonomo nello svolgimento della sua attività di controllo, senza alcun condizionamento (art.38 c.3).

Alcuni dei quesiti più frequenti

L’informativa alle famiglie

Le istituzioni scolastiche pubbliche possono trattare soltanto i dati personali necessari al perseguimento delle specifiche finalità istituzionali, che sono comunque finalità di rilevante interesse pubblico, in ossequio ai principi di pertinenza e non eccedenza, oppure quelli espressamente previsti dalla normativa di settore. Quindi, per tali trattamenti non occorre il consenso degli studenti, la base giuridica del trattamento è, infatti, data dall’interesse pubblico.
Occorre, ovviamente, particolare cautela nel trattamento dei dati, trattandosi di dati relativi a soggetti generalmente minorenni. In alcuni casi si tratta anche di dati particolari, cioè relativi alla salute, origine etnica, religione o giudiziari. In questo caso le cautele devono essere massime e soprattutto occorre verificare se il trattamento di quei dati sia davvero indispensabile per il perseguimento delle finalità scolastiche.

Accesso ai dati

Per conosce le proprie informazioni conservate e utilizzate dall’istituzione scolastica, ed esercitare i diritti di rettifica e correzione, è possibile rivolgersi al titolare del trattamento, cioè lo stesso istituto scolastico. In caso di mancata risposta ci si può rivolgere al Garante oppure alla magistratura. Per quanto riguarda, invece, l’accesso ad altra documentazione amministrativa , spetta all’istituto valutare la legittimità dell’accesso o se il richiedente ha un interesse diretto, concreto ad attuale ad ottenere l’atto in questione, in base al D.Lgs. 33/2013 o alla legge 241/1990 che regolano l’accesso agli atti della Pubblica Amministrazione.

Si possono pubblicare le foto degli alunni

La pubblicazione di foto degli alunni sul sito istituzionale della scuola può essere considerata lecita in quanto rientra tra le iniziative promozionali e divulgative delle specifiche attività svolte, quali recite, progetti e attività scolastiche. Ma trattandosi di utilizzo di dati non previsto espressamente da leggi o regolamenti, affinché la diffusione a mezzo web sia legittima è però indispensabile il consenso esplicito dell’interessato (dei tutori in caso di minori).
Se la diffusione di immagine viene effettuata tramite social network (FB, ecc.) deve essere espressamente riportato nell’informativa, essendo i social strumenti di diffusione particolare.

La riproduzione dei dati deve inoltre rispondere alla sola esigenza di documentazione dell’attività didattica o complementare, in ossequio al principio di proporzionalità. Per cui le riprese foto o filmati degli eventi devono essere limitate a riprendere in genere gruppi nello svolgimento dell’attività, evitando i primi piani. Gli studenti devono essere sempre ripresi in atteggiamenti positivi o costruttivi e mai negativi, nel rispetto della dignità della persona.

Obbligatorietà della formazione del personale

La centralità della formazione è ribadita dall’art. 32 “Sicurezza del trattamento” paragrafo 4, dove si prevede che “il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento”.

Anche l’art 47 dispone “l’appropriata formazione in materia di protezione dei dati al personale che ha accesso permanente o regolare ai dati personali”.

Vale la pena ricordare che tra i compiti affidati al Responsabile della Protezione dei Dati personali (DPO) è compreso quello di “sorvegliare… la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo” (GDPR 2016/679 art.39 c.1 lett.b).

Versione stampabile
Argomenti:
anief banner
soloformazione