§ B. Adempimenti delle Istituzioni Scolastiche

1. L’informativa (art. 13 comma 1 del Codice): è volta a fornire preventivamente all’interessato di cui sono raccolti i dati, una spiegazione dettagliata sul trattamento che verrà effettuato.
L’informativa deve contenere le seguenti indicazioni:
-le finalità del trattamento che, secondo quanto previsto dallo stesso codice, devono consistere in scopi determinati, espliciti e legittimi;
-le modalità del trattamento dei dati (ad esempio se sono trattati solo per via manuale, cartacea, con sistemi informatici…);
-se sia o meno obbligatorio il conferimento dei dati da parte dell’interessato per il corretto e completo svolgimento del servizio offerto;
-le conseguenze in caso di rifiuto a fornire i dati personali;
-i soggetti o le categorie di soggetti ai quali i dati personali potranno essere comunicati o che possono venire a conoscenza in qualità di responsabili o incaricati del trattamento, e l’ambito di diffusione dei medesimi (si pensi ai casi in cui l’Istituzione Scolastica fornisce dati inerenti l’andamento scolastico di un alunno ad un’agenzia di formazione professionale);
-i diritti che l’interessato può esercitare per la tutela della propria riservatezza;
-i dati essenziali del titolare e del responsabile.
Il Codice non impone di fornire una informativa scritta né che questa debba essere rivolta singolarmente ad ogni interessato, tuttavia è consigliabile che il Dirigente Scolastico, titolare del trattamento, disponga l’affissione dell’informativa all’albo d’Istituto e che raccomandi la sua massima diffusione e visibilità anche, ove esista, sul sito istituzionale.

N.B. La mancata predisposizione dell’informativa comporta, oltre alle sanzioni amministrative, civili e penali previste dal decreto legislativo 196/2003, la inutilizzabilità dei dati personali raccolti, come previsto dall’articolo 11 comma 2 del codice privacy.

2. Misure minime di sicurezza:
·Aggiornamento periodico dell’individuazione dei singoli incaricati o delle unità organizzative nell’ambito del trattamento consentito;
·Previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
·Previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di ingresso finalizzata alla identificazione degli incaricati;
Per il trattamento dei dati con sistemi elettronici od informatici è necessario porre in essere ulteriori misure di sicurezza:
· Autenticazione informatica;
· Adozione di procedure di gestione di credenziali di autenticazione;
· Utilizzazione di un sistema di autorizzazione;
· Aggiornamento periodico dell’individuazione dei singoli incaricati o delle unità organizzative dell’ambito del trattamento consentito;
·Protezione degli strumenti elettronici e dei dati dai trattamenti illeciti, da accessi non consentiti e da determinati programmi informatici;
·Adozione di procedure per la custodia di copie di sicurezza e il ripristino della disponibilità dei dati e dei sistemi;
·Tenuta di un aggiornato documento programmatico della sicurezza.
3. Documento programmatico della sicurezza:
Tale documento deve essere redatto ed aggiornato entro il 31 marzo di ogni anno e deve contenere tutte le informazioni relative al trattamento effettuato.
Il DPS deve registrare ad una data certa chi tratta dati all’interno dell’Istituzione Scolastica, che tipo di dati, per quali finalità, con quali misure di sicurezza.
Colui che deve redigere il DPS è il Dirigente Scolastico, in quanto titolare del trattamento, tuttavia può avvalersi dell’ausilio del responsabile del trattamento.
Il DPS deve contenere:
§ Idonee informazioni riguardo l’elenco dei trattamenti dei dati personali;
§ La distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati;
§L’analisi dei rischi che incombono sui dati;
§Le misure da adottare per garantire l’integrità e la disponibilità dei dati, dei locali e delle aree rilevanti ai fini della custodia ed accessibilità;
§La descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento;
§La previsione di interventi formativi degli incaricati del trattamento.

N.B. In virtù del contenuto del DPS, è evidente che in occasione di controlli interni o da parte di autorità esterne, il documento in questione rappresenta il primo parametro di riferimento per valutare l’effettivo rispetto delle norme in materia di trattamento dei dati personali.

4. La comunicazione istituzionale:
Può capitare che nello svolgimento dei propri compiti l’Istituzione scolastica sia chiamata a comunicare i dati personali da essa posseduti ad una diversa Pubblica Amministrazione. Il Codice permette tale operazione solo se sia prevista da una norma di legge o di regolamento. In mancanza di tale norma, la comunicazione è possibile solo previa comunicazione al Garante ed attesa della relativa pronuncia.

• Esempio in materia di comunicazione di prolungate assenze di alunni: per la scuola dell’obbligo è previsto un potere di vigilanza, in capo a determinati soggetti, per evitare casi di abbandono scolastico. Tale vigilanza si concretizza con la predisposizione da parte del Comune di un elenco dei minori soggetti ad obbligo scolastico. I responsabili delle Istituzioni Scolastiche che ricevono le iscrizioni, entro il ventesimo giorno dall’inizio dell’anno scolastico, devono comunicare ai Comuni di residenza i nominativi degli iscritti per i necessari riscontri. Per gli anni successivi al primo, il Dirigente Scolastico dovrà vigilare sulla regolare frequenza dei corsi da parte del soggetto obbligato ed in caso di prolungate ed ingiustificate assenze dovrà comunicare alle autorità comunali il dato, affinché le stesse attivino i servizi per la repressione delle inadempienze all’obbligo scolastico.
  Tale ipotesi è il tipico caso in cui, in maniera del tutto lecita, è possibile la comunicazione di dati tra differenti Enti Pubblici al fine di garantire il diritto allo studio a favore dello studente e l’adempimento del corrispondente dovere nel periodo della scuola dell’obbligo.
  

• Esempio in materia di comunicazione di dati relativi agli esiti scolastici finali o intermedi al fine di agevolare l’orientamento, la formazione e l’inserimento professionale anche all’estero: l’articolo 96 del codice privacy prevede che tale comunicazione sia possibile solo in presenza di un’istanza dell’interessato, di un’adeguata informativa e di un controllo sui destinatari dei dati.
  Quindi le Istituzioni Scolastiche possono comunicare o diffondere i dati dei propri studenti, in quanto essi abbiano preventivamente presentato una richiesta. In tal senso la necessità della richiesta costituisce una deroga al generale principio secondo il quale i soggetti pubblici, per trattare dati personali comuni, non devono richiedere il consenso dell’interessato. Tale deroga si spiega con il fatto che la comunicazione e diffusione degli esiti delle prove degli studenti non integra un adempimento connesso alle funzioni istituzionali strettamente intese. Si tratta di attività ultronea, seppure connessa, al fine istituzionale.
  

N.B. La logica del consenso non è applicabile in nessun caso ai dati sensibili e giudiziari, per i quali nessuna comunicazione o diffusione è consentita alle Istituzioni Scolastiche.