IL RUOLO DEL DPO NELLE SCUOLE ITALIANE: LA DOVEROSA RICERCA DI EQUILIBRIO TRA PROTEZIONE E CIRCOLAZIONE DEI DATI.

Autore: Ludovica Paseri

Trascorso un anno dalla data in cui il GDPR è divenuto effettivamente applicabile, forse è troppo presto per parlare di bilanci, ma è certamente possibile realizzare qualche analisi.

Con un po’ di ritardo rispetto alle colleghe europee, e con non poche confusioni, le scuole italiane hanno iniziato il loro percorso per diventare compliant alla nuova normativa.

Che ruolo ha rivestito – e deve continuare a rivestire – il Data Protection Officer in questo percorso?

È bene ribadire, infatti, che il DPO in ambito scolastico, forse più che in ogni altro ambito, riveste un ruolo estremamente delicato che discende dai soggetti coinvolti, vale a dire minori, insegnanti, famiglie e apparato amministrativo, nonché dalla rilevanza stessa che l’organo scolastico detiene di per sé, organo che Calamandrei definì di rango costituzionale [1].

Se, come ben sappiamo, il DPO deve essere selezionato in base alle proprie qualità professionali e competenze ai sensi dell’art. 37 del GDPR, non si deve dimenticare che la sua conoscenza deve essere profonda e consapevole sia della materia oggetto del Reg. 679/2016, sia dell’ente o impresa in cui opera. Per questo motivo, è necessario e fondamentale che il DPO che lavora nelle scuole sia estremamente consapevole del proprio agire, tenendo bene a mente le peculiarità della realtà in cui è calato.

Il GDPR è una disciplina che non inizia e finisce in sé e negli adempimenti prescritti: deve necessariamente – come ogni altra normativa o forse più di altre – dialogare con la realtà in cui è calata, a maggior ragione se questa realtà sta profondamente mutando per merito della rivoluzione digitale [2].

Uno dei compiti in assoluto più rilevanti che deve svolgere il DPO è quello della formazione e se vogliamo anche dell’educazione alla tutela dei dati nelle scuole, in primis per insegnanti e famiglie.

Il DPO, infatti, ha un ruolo che va ben oltre i pratici adempimenti: esso deve aiutare il titolare e tutti i soggetti coinvolti nel trattamento, a raggiungere l’equilibrio tra protezione e circolazione dei dati, che sono le due opposte esigenze che lo stesso GDPR si propone di perseguire, come previsto allo stesso art. 1 del Reg. 679/2016, pilastro della disciplina.

I titolari e i responsabili del trattamento dei dati personali nelle scuole, infatti, devono necessariamente porre in essere un’analisi dei processi e dei procedimenti di trattamento, non solamente dei dati stessi, che tenga conto della specificità degli interessati [3], non dimenticando che ciò a cui si deve ambire resta sempre la tutela complessiva dei soggetti minori. Il considerando 38 del Reg. 679/2016 è chiaro nel sostenere che “I minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali”.

Nel porre in essere questo tipo di valutazioni atte a rendere i trattamenti dei dati conformi alla disciplina del GDPR non bisogna, però, mai perdere logicità e buon senso: uno dei pilastri della normativa resta sempre l’accountability. Il principio della responsabilizzazione dovrebbe mirare, infatti, ad evitare che l’operato degli insegnanti sia limitato o paralizzato dalla paura di infrangere qualche disposizione.

A questo proposito si segnala una recente sentenza del Tribunale di Roma [4] che interviene in materia di trattamento dei dati in ambito scolastico. Un insegnante si è rivolto al Tribunale di Roma, in veste di giudice del lavoro, per richiedere l’annullamento della sanzione disciplinare irrogatagli dal MIUR nel 2017 a causa di una lamentata violazione della Direttiva cd. Fioroni, n. 104/2007, contenente “linee di indirizzo e chiarimenti interpretativi ed applicativi in ordine alla normativa vigente posta a tutela della privacy con particolare riferimento all’utilizzo di telefoni cellulari o di altri dispositivi elettronici nelle comunità scolastiche allo scopo di acquisire e/o divulgare immagini, filmati o registrazioni vocali”. Il ricorrente, infatti, era stato sanzionato a causa della divulgazione di foto ritraenti gli studenti del Liceo Kant di Roma all’interno di un calendario realizzato per un progetto culturale scolastico. Il Tribunale adito, nell’accogliere il ricorso, dichiara la sanzione illegittima sulla base dell’insussistenza dei fatti addebitati [5]: il docente, infatti, aveva assolto gli obblighi previsti in materia, per l’utilizzo delle fotografie, avendo fornito l’informativa sull’utilizzo dei dati e acquisito il consenso per iscritto, prima della realizzazione del calendario. Il trattamento dei dati oggetto della controversia, inoltre, rientrava nell’ambito di un progetto culturale scolastico inserito nel POF (Piano d’Offerta Formativa) e, pertanto, ne veniva dato atto, soddisfacendo le esigenze di documentazione dell’operato, in linea con il principio di accountability.

Per quanto attiene la data protection in ambito scolastico, si ritiene sempre utile il riferimento al Vademecum disposto dal Garante nel 2016 [6]: per quanto risalente e anteriore al 25 maggio 2018, è, comunque, successivo all’entrata in vigore del GDPR, e risulta essere un buon punto di partenza per tracciare il quadro generale dei necessari adempimenti.

Tra i tanti trattamenti dei dati posti in essere nelle scuole, si raccomanda, d’altro canto, una particolare cautela nei confronti dei trattamenti dei dati relativi alla salute dei minori, come, peraltro, ribadito in plurime occasioni, sia dal Garante Privacy, sia dalla giurisprudenza. A questo proposito si richiama una recente sentenza della Corte di Cassazione [7] che ribadisce come “ogni dato che consenta l’identificazione, in capo a un soggetto, di una situazione di debolezza, di disagio, ovvero di una situazione che l’esperienza storica ha dimostrato possa dar luogo a situazioni discriminatorie, ovvero lesive dei diritti del titolare del dato stesso, sia prudenzialmente protetto in termini più incisivi rispetto a qualunque altro dato che attenga alla generica riservatezza della persona, esistendo particolari disagi (o pericoli di particolari disagi) nei confronti dei quali il legislatore ha voluto che il dato personale che ne consente il disvelamento sia particolarmente vigilato, in ragione, appunto, della strutturale ed ontologica pericolosità del disvelamento”. Nello specifico, la Suprema Corte, rigettando il ricorso del MIUR, confermava la sentenza del Tribunale di Genova che aveva riconosciuto la legittimazione dei familiari di un minore ad agire per ottenere il risarcimento dei danni provocati dell’illecita diffusione, posta in essere mediante l’affissione delle graduatorie di ammissione ai corsi scolastici, di dati riguardanti la salute del minore stesso.

In conclusione, ciò che si evince da queste due sentenze analizzate, sta nel fatto che la disciplina tesa alla tutela dei dati personali nelle scuole da un lato, non deve porsi come limite all’agire delle stesse ma, dall’altro, deve necessariamente essere uno strumento mediante il quale insegnanti e famiglie prendano consapevolezza dei trattamenti che si pongono in essere, per evitare lesioni che si possano ripercuotere sui minori, soggetti vulnerabili e come tali maggiormente protetti dall’ordinamento.

Il compito di formazione che il GDPR pone in capo al DPO deve inevitabilmente andare ad agire nello spazio che si forma fra le opposte esigenze appena citate, per tendere all’equilibrio ed evitare da un lato violazioni della privacy dei minori e dall’altro, che a causa dell’ignorante espressione “per motivi di privacy” si limiti l’operato degli insegnati, arrecando svantaggi agli studenti.

[1] J. C. De Martin, Università futura: tra democrazia e bit, Codice Edizioni, Torino, 2017, p. XI.

[2] L. Floridi, La quarta rivoluzione: come l’infosfera sta trasformando il mondo, Raffaello Cortina Editore, Milano 2017.

[3] M. Orofino, F. Pizzetti, Privacy, Minori e cyberbullismo, Giappichelli Editore, Torino, p. 23, 2018.

[4] Tribunale di Roma, 28/02/2019, n. 2007.

[5] M. Alovisio, Scuola: vìola la privacy il prof. che pubblica un calendario con le foto degli studenti?, in “Il quotidiano giuridico”, maggio 2019.

[6] Garante dei dati personali, La scuola a prova di privacy, 2016. Disponibile a: https://www.garanteprivacy.it/scuola.

[7] Corte Cass., Sez. III, 26/06/2018, n. 16816.

Il ruolo della data governance nella sostenibilità delle smart cities

Il ruolo dei cookie paywall ed il valore dei dati personali

Riconoscimento facciale e sorveglianza: raising awareness

Diritto di accesso ad internet: un requisito per lo sviluppo di una cultura digitale

Deepfake: “when seeing isn’t believing anymore”

ABOUT US

LINKS

Community

About

Privacy e cookie policy

Login

SOCIAL