§ B. Adempimenti delle Istituzioni Scolastiche


1. L’informativa (art. 13 comma 1 del Codice): è volta a fornire preventivamente all’interessato di cui sono raccolti i dati, una spiegazione dettagliata sul trattamento che verrà effettuato.
L’informativa deve contenere le seguenti indicazioni:
-le finalità del trattamento che, secondo quanto previsto dallo stesso codice, devono consistere in scopi determinati, espliciti e legittimi;
-le modalità del trattamento dei dati (ad esempio se sono trattati solo per via manuale, cartacea, con sistemi informatici…);
-se sia o meno obbligatorio il conferimento dei dati da parte dell’interessato per il corretto e completo svolgimento del servizio offerto;
-le conseguenze in caso di rifiuto a fornire i dati personali;
-i soggetti o le categorie di soggetti ai quali i dati personali potranno essere comunicati o che possono venire a conoscenza in qualità di responsabili o incaricati del trattamento, e l’ambito di diffusione dei medesimi (si pensi ai casi in cui l’Istituzione Scolastica fornisce dati inerenti l’andamento scolastico di un alunno ad un’agenzia di formazione professionale);
-i diritti che l’interessato può esercitare per la tutela della propria riservatezza;
-i dati essenziali del titolare e del responsabile.
Il Codice non impone di fornire una informativa scritta né che questa debba essere rivolta singolarmente ad ogni interessato, tuttavia è consigliabile che il Dirigente Scolastico, titolare del trattamento, disponga l’affissione dell’informativa all’albo d’Istituto e che raccomandi la sua massima diffusione e visibilità anche, ove esista, sul sito istituzionale.

N.B. La mancata predisposizione dell’informativa comporta, oltre alle sanzioni amministrative, civili e penali previste dal decreto legislativo 196/2003, la inutilizzabilità dei dati personali raccolti, come previsto dall’articolo 11 comma 2 del codice privacy.

2. Misure minime di sicurezza:
·Aggiornamento periodico dell’individuazione dei singoli incaricati o delle unità organizzative nell’ambito del trattamento consentito;
·Previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
·Previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di ingresso finalizzata alla identificazione degli incaricati;
Per il trattamento dei dati con sistemi elettronici od informatici è necessario porre in essere ulteriori misure di sicurezza:
· Autenticazione informatica;
· Adozione di procedure di gestione di credenziali di autenticazione;
· Utilizzazione di un sistema di autorizzazione;
· Aggiornamento periodico dell’individuazione dei singoli incaricati o delle unità organizzative dell’ambito del trattamento consentito;
·Protezione degli strumenti elettronici e dei dati dai trattamenti illeciti, da accessi non consentiti e da determinati programmi informatici;
·Adozione di procedure per la custodia di copie di sicurezza e il ripristino della disponibilità dei dati e dei sistemi;
·Tenuta di un aggiornato documento programmatico della sicurezza.
3. Documento programmatico della sicurezza:
Tale documento deve essere redatto ed aggiornato entro il 31 marzo di ogni anno e deve contenere tutte le informazioni relative al trattamento effettuato.
Il DPS deve registrare ad una data certa chi tratta dati all’interno dell’Istituzione Scolastica, che tipo di dati, per quali finalità, con quali misure di sicurezza.
Colui che deve redigere il DPS è il Dirigente Scolastico, in quanto titolare del trattamento, tuttavia può avvalersi dell’ausilio del responsabile del trattamento.
Il DPS deve contenere:
§ Idonee informazioni riguardo l’elenco dei trattamenti dei dati personali;
§ La distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati;
§L’analisi dei rischi che incombono sui dati;
§Le misure da adottare per garantire l’integrità e la disponibilità dei dati, dei locali e delle aree rilevanti ai fini della custodia ed accessibilità;
§La descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento;
§La previsione di interventi formativi degli incaricati del trattamento.

N.B. In virtù del contenuto del DPS, è evidente che in occasione di controlli interni o da parte di autorità esterne, il documento in questione rappresenta il primo parametro di riferimento per valutare l’effettivo rispetto delle norme in materia di trattamento dei dati personali.

4. La comunicazione istituzionale:
Può capitare che nello svolgimento dei propri compiti l’Istituzione scolastica sia chiamata a comunicare i dati personali da essa posseduti ad una diversa Pubblica Amministrazione. Il Codice permette tale operazione solo se sia prevista da una norma di legge o di regolamento. In mancanza di tale norma, la comunicazione è possibile solo previa comunicazione al Garante ed attesa della relativa pronuncia.



N.B. La logica del consenso non è applicabile in nessun caso ai dati sensibili e giudiziari, per i quali nessuna comunicazione o diffusione è consentita alle Istituzioni Scolastiche.