§ A. Definizioni

Ai sensi dell’articolo 4 codice privacy, comma 1 lett. A del d.lgs. 196 del 2003 per trattamento si intende "ogni operazione, effettuata anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione,la cancellazione e la distruzione di dati". Dall’ampia definizione fornita dal decreto 196/2003 è facile comprendere come tutte le Pubbliche Amministrazioni siano assoggettate alla normativa ivi contenuta e che anche la semplice consultazione di dati implichi un trattamento che, conseguentemente, comporta l’applicazione del codice in materia di trattamento dei dati personali.
ØPrincipio di strumentalità del trattamento: nei rapporti con soggetti pubblici domina il principio della strumentalità del trattamento rispetto alla tutela dell’interesse pubblico. Tutte le Pubbliche Amministrazioni sono deputate istituzionalmente allo svolgimento di attività dirette a realizzare fini di interesse collettivo. Pertanto nei casi in cui l’acquisizione, l’archiviazione o la comunicazione di dati personali sia necessaria per il raggiungimento dei fini istituzionali, non occorre il consenso dell’interessato, poiché le esigenze connesse alle attività di interesse collettivo assumono rilevanza tale da comprimere le posizioni soggettive dei destinatari dell’azione amministrativa.[1]
Ne consegue che le Istituzioni Scolastiche non devono richiedere il consenso agli alunni o alle loro famiglie per il trattamento dei dati personali se utilizzati per il raggiungimento di scopi istituzionali. Per un maggior approfondimento confrontare art. 95 del codice privacy.

N.B. Occorre sottolineare che neanche con il consenso degli interessati un’Istituzione Scolastica può trattare dati non pertinenti al proprio fine istituzionale.

Nella prima parte del Codice è stata inserita una sorta di vocabolario, che rende più chiaro il significato dei termini ivi contenuti al fine dell’applicazione delle relative norme (articolo 4 del codice)
Pare opportuno in questa sede richiamare l’attenzione su due definizioni, che possono confondere chi si appresta a leggere il testo dell’articolo 4 in maniera frettolosa: si tratta della definizione dei concetti relativi ai dati giudiziari ed ai dati sensibili.
Ø Dati giudiziari (art. 4, comma 1 lett. e): per dati giudiziari devono intendersi solo i dati personali idonei a rivelare provvedimenti in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato o dei relativi carichi pendenti o la qualità di imputato o di indagato ai sensi dell’articolo 60 e 61 del codice di procedura penale. In sintesi la categoria dei dati giudiziari è composta esclusivamente da informazioni riconducibili a contenziosi penali. Ne consegue che le informazioni concernenti contenziosi proposti avanti altre autorità giurisdizionali (amministrativa, civile), sebbene riguardano contenziosi pendenti, devono essere ricomprese nella categoria dei dati personali tout court.
Ø Dati sensibili (art. 4, comma 1 lett. d): vengono ricompresi in tale categoria tutti i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati idonei a rivelare lo stato di salute e la vita sessuale.
E’ bene soffermarsi sui dati idonei a rivelare lo stato di salute e la vita sessuale, infatti i dati sanitari devono essere conservati separatamente dal resto dei dati e ne è preclusa comunque la diffusione. Nella categoria di dati sanitari vengono inseriti i certificati medici, nonché le annotazioni, usate nei registri delle presenze, in occasione dell’assenza dal posto di lavoro per ragioni sanitarie.

• Esempio in tema di prove differenziate da parte di studenti portatori di handicap: il Ministero ha ribadito che nessun riferimento deve essere indicato nei tabelloni affissi all’albo d’Istituto, mentre l’indicazione dell’effettuazione di prove differenziate deve essere riportata nell’attestazione inerente la prova. Il Ministero ha ritenuto eccessivo, rispetto alle esigenze di pubblicità delle prove scolastiche, l’indicazione pubblica del percorso differenziato dello studente in situazioni di handicap.
  

Ø Titolare del trattamento dei dati personali: secondo quanto sancito dall’articolo 4 del codice, il titolare del trattamento può essere sia una persona fisica che una persona giuridica. Superfluo ricordare che nel caso di Pubbliche Amministrazioni siamo nel campo delle persone giuridiche. L’articolo 28 del codice privacy precisa che quando il trattamento è effettuato da persone giuridiche, da una P.A o altro ente, titolare del trattamento è l’entità nel suo complesso o l’unità od organismo periferico, in persona di chi esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza. Nel caso delle Istituzioni Scolastiche il titolare del trattamento è il Dirigente Scolastico.
Ø Responsabile del trattamento: il codice prevede che tale figura possa essere una persona fisica o giuridica. La scelta, a discrezione del titolare del trattamento, deve però rispecchiare alcune caratteristiche peculiari: il responsabile deve essere individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza art. 29 comma 2 del codice privacy. Nelle Istituzioni Scolastiche la persona che meglio risponde ai requisiti sopra enunciati è il DSGA.

N.B. Il codice non impone la forma scritta per l’attribuzione della qualifica, che pertanto può essere fatta anche in forma orale dal titolare del trattamento, ma impone la forma scritta per l’analitica specificazione dei compiti attribuiti al responsabile del trattamento.

Può essere nominato più di un responsabile del trattamento, responsabile che può anche essere un soggetto esterno all’Istituzione Scolastica.

• Esempio: si pensi al rapporto convenzionale per l’assistenza agli strumenti informatici. La società affidataria del servizio di assistenza diviene detentrice dei dati già in possesso dell’Istituzione Scolastica. Pertanto la ditta affidataria deve impegnarsi a garantire nei confronti degli interessati un livello di trattamento dei dati almeno pari a quello curato presso l’Istituzione Scolastica. Quindi la società dovrà assumere la qualità di responsabile del trattamento. Occorre precisare che il Dirigente scolastico nel corso delle procedura ad evidenza pubblica adottate per l’individuazione dell’impresa affidataria del servizio di assistenza informatica, dovrà precisare che, in conseguenza dell’aggiudicazione, l’impresa è tenuta ad assumere la qualità di responsabile.
  

Ø Incaricato del trattamento: possono essere solo persone fisiche. La designazione scritta può essere effettuata in due modalità: affidamento dell’incarico ad un’unità o ad personam.

• Esempio di incarico ad un’unità: incarico affidato al personale di segreteria (inteso come tutti coloro che sono preposti all’ufficio di segreteria), oppure tutti gli insegnanti della prima ora (qualsiasi sia l’insegnante, che di anno in anno può cambiare). Tale modalità di designazione è diretta ad ottimizzare l’attività di giustificazione delle assenze effettuate dai ragazzi. In tal caso l’insegnante della prima ora, qualunque esso sia, è autorizzato a ricevere la giustificazione ed a trattare i dati relativi. In caso contrario, se non fosse individuata un’unità, ma solo una persona singola, si potrebbe verificare il caso in cui l’insegnante nominato nel giorno preso in considerazione sia assente, in tal caso nessun altro insegnante potrebbe trattare il dato poiché privo di incarico.