Le scuole di ogni ordine e grado sono ormai chiuse da oltre un mese e lezioni, esami e interrogazioni vengono ormai abitualmente svolte a distanza secondo le indicazioni del MIUR, le quali appaiono però carenti dal punto di vista della protezione dei dati personali e della sicurezza informatica.
Consenso al trattamento dei dati personali
All’interno delle indicazioni fornite dal MIUR si legge
“le istituzioni scolastiche non devono richiedere il consenso per effettuare il trattamento dei dati personali (già rilasciato al momento dell’iscrizione) connessi allo svolgimento del loro compito istituzionale, quale la didattica, sia pure in modalità “virtuale” e non nell’ambiente fisico della classe.”
La frase si presenta assolutamente contraddittoria, in quanto, correttamente si sottolinea la non necessità della prestazione di un consenso da parte degli studenti in materia di trattamento dei propri dati personali ma subito dopo si precisa che questo è stato raccolto al momento dell’iscrizione, adempimento assolutamente non necessario (ed anzi, scorretto) in quanto la base giuridica dei trattamenti prettamente scolastici deve essere individuata di volta in volta nella legge stessa o nell’adempimento di un compito di interesse pubblico.
Questo varebbe anche nel caso in cui la nota si riferisse al trattamento di dati particolari (quali i dati sanitari degli studenti) in quanto il loro trattamento in ambito scolastico è altrettanto autorizzato direttamente dalla legge.
Il consenso, all’interno delle istituzioni scolastiche, dovrebbe essere relegato pertanto a questioni meramente marginali (es. pubblicazione di immagini online).
L’errore, apparentemente veniale, potrebbe avere conseguenze anche particolarmente pesanti:
- La raccolta del consenso prestato da tutti gli studenti è un onere burocratico non indifferente, e comporta anche la conservazione dei documenti in grado di comprovare tale prestazione.
- La gestione di un eventuale mancata prestazione del consenso potrebbe divenire problematica, l’erogazione dell’istruzione, perlomeno quella obbligatoria, corrisponde infatti all’adempimento di un interesse pubblico.
Divieto di comunicazione dei dati personali
In un passaggio delle indicazioni si legge poi
“evitando qualsiasi forma di profilazione, nonché di diffusione e comunicazione dei dati personali raccolti a tal fine, che essi siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per cui sono trattati”
Tralasciando l’opportunità o meno di un divieto di profilazione non si comprende come la didattica a distanza possa funzionare in presenza di un divieto di comunicazione a terzi dei dati personali e appare del tutto irragionevole inserire un simile divieto.
Sicurezza dei dati personali
Proseguendo si legge che i dati personali dovranno essere:
“trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”
Questo comporterebbe un obbligo per gli istituti di dotarsi di un sistema di gestione dei rischi e di rispettare le best practice in materia di sicurezza informatica, ma il MIUR non fornisce nessuna ulteriore indicazione.
Considerando che le misure minime di sicurezza previste per le pubbliche amministrazioni dall’AgID non si applicano agli istituti e che, purtroppo la situazione dal punto di vista della sicurezza informatica è tragica nel nostro paese, qualche indicazione più specifica sarebbe stata d’aiuto per gli istituti.
Responsabili del trattamento
Correttamente il MIUR impone agli Istituti scolastici la nomina a responsabili del trattamento degli eventuali fornitori i cui prodotti o servizi vengano utilizzati per l’attivazione della didattica a distanza.
Tuttavia il MIUR non fornisce alcuna indicazioni agli istituiti rispetto all’adempimento preliminare rispetto alla nomina a responsabile del trattamento, cioè la valutazione delle garanzie offerte dai fornitori, adempimento che, a norma dell’art. 28 del GDPR non può essere in alcun modo saltato.
In conclusione, la mancanza di chiarezza delle linee guida fornite dal MIUR costringerà gli istituti, già oberati di lavoro inusuale, a ricorrere alla consulenza dei propri DPO.
Privacy Studio Blog
Siamo un gruppo di professionisti della privacy con un focus nell'aiutare i nostri clienti a trattare consapevolmente e correttamente i dati personali e non solo.
Richiedi un preventivo
Offriamo servizi di consulenza legale e tecnica in ambito privacy, tra i quali:
- Servizio DPO
- Adeguamento GDPR
- Formazione
- Audit
- Certificazione Siti/e-commerce
- Gestione Contenzioso
Iscriviti alla newsletter!
Altri articoli del blog
Vedi tutti
Articoli recenti
- Marketing: gli adempimenti necessari per essere conformi alla normativa privacy ed evitare sanzioni da parte del Garante Marzo 16, 2023
- Cyber Censura e privacy online: come difendersi e navigare in sicurezza Marzo 7, 2023
- Proteggi i dati dei tuoi utenti e aumenta la loro fiducia: guida sullo sviluppo di un’applicazione conforme al GDPR Febbraio 28, 2023
