Descrizione
Nel pubblicare la seconda edizione del presente testo sulla privacy a scuola ci sia consentito esprimere il vivo compiacimento per il fatto che la precedente edizione ha incontrato il favore delle istituzioni scolastiche e non solo dei destinatari, per così dire, naturali, quali i dirigenti scolastici ed i direttori SGA, ma anche numerosi docenti che nella scuola svolgono i compiti delle c.d. figure di sistema.
L’attività delle istituzioni scolastiche, alla stregua di qualsiasi altra attività svolta dagli organi della pubblica amministrazione, ricade nella sfera di applicazione dalla legge sulla privacy, poiché raccoglie, detiene e gestisce dati personali degli allievi, dei genitori, del personale dipendente e dei fornitori. Molti sono infatti i soggetti pubblici e privati che si interfacciano con le scuole per richiedere notizie sugli allievi e sul personale dipendente, così come diventa sempre più complesso gestire la macchina amministrativa per contemperare l’esigenza di celerità, efficienza e trasparenza con il diritto alla riservatezza. Da ultimo, non si può trascurare come il progresso tecnologico del settore informatico degli ultimi anni stia avendo ricadute sempre più considerevoli in campo educativo, basti pensare agli sviluppi dell’intelligenza artificiale.
Generalmente gli uffici di segreteria gestiscono informaticamente, sia il personale docente ed A.T.A. che gli studenti, utilizzando banche dati anche corpose, in rapporto alle dimensioni dell’istituzione scolastica. Le istituzioni scolastiche non possono liberamente comunicare e/o divulgare i dati in loro possesso, ma per poterlo fare devono sottostare agli adempimenti imposti dalle disposizioni emanate in materia di privacy. Per questo motivo, la nuova edizione del libro sulla privacy in ambito scolastico è fortemente focalizzata sulle novità introdotte dall’art. 9 del D.L. n. 139 del 2021 (c.d. decreto “Capienze”) convertito nella legge 3 dicembre 2021, n.205, che ha esteso la portata dell’art. 2-ter del codice privacy.
La disciplina della privacy non è di facile applicazione, soprattutto in ambito scolastico per la presenza dei minori; per tale ragione abbiamo pensato di predisporre una guida agile che riepiloghi gli adempimenti e le connesse responsabilità istituzionali.
Gli autori analizzano gli aspetti della normativa di maggiore impatto, con specifico riferimento all’analisi di casi tratti dall’esperienza amministrativa delle istituzioni scolastiche, con l’obiettivo di fornire risposte operative e soluzioni pratiche alle situazioni che quotidianamente si presentano e che i dirigenti scolastici sono chiamati a gestire.
Segnaliamo che sul sito formazione-euroedizioni.it , con apposita password che sarà fornita a richiesta agli acquirenti del presente manuale, sarà possibile consultare la normativa aggiornata sulla privacy, le sentenze degli organi giurisdizionali e i provvedimenti del garante privacy, nonchè scaricare tutti i modelli e gli schemi che abbiamo predisposto per supportare le istituzioni scolastiche nella gestione della privacy.
Con questa proposta ci impegniamo a fare un aggiornamento continuo per supportare nel modo più efficace possibile coloro che lavorano nel mondo della scuola e metterli in condizione di padroneggiare sempre più consapevolmente questa materia.
Indice
INDICE
PRIMA PARTE
SOGGETTI E ADEMPIMENTI NELLA GESTIONE DELLA PRIVACY
Capitolo 1
I soggetti del trattamento dati nell’amministrazione scolastica
Premessa
1.1. La ripartizione degli incarichi nelle istituzioni scolastiche
1.2. Gli adempimenti del dirigente scolastico
1.3. La responsabilità del dirigente scolastico
1.4. Il contitolare del trattamento
1.5. La responsabilità del contitolare
1.6. I soggetti autorizzati
1.7. I soggetti designati
1.8. L’interessato
CAPITOLO 2
RESPONSABILE ESTERNO DEL TRATTAMENTO DATI
Premessa
2.1. La gregarietà del responsabile esterno
2.2. Il rapporto tra titolare e responsabile esterno: il contratto di individuazione
2.3. Il contenuto del contratto di designazione del responsabile
2.4. La responsabilità del responsabile del trattamento
2.5. Il sub-responsabile 35 2.6. La designazione da responsabile a sub-responsabile
CAPITOLO 3
IL RESPONSABILE DELLA PROTEZIONE DATI
Premessa
3.1. L’obbligo di designazione per la scuola
3.2. Il triplice ruolo del DPO
3.3. L’individuazione del DPO
3.4. Le indicazioni del Garante Privacy
3.4.1. L’individuazione temporanea del DPO
3.4.2. Dimensioni e pluralità di titolari
3.4.3. Le competenze del DPO
3.4.4. I criteri di individuazione del DPO
3.4.5. Il coinvolgimento del DPO
3.4.6. L’indipendenza del DPO
CAPITOLO 4
LE CATEGORIE DI DATI PERSONALI TRATTATI
Premessa
4.1. La base giuridica e il trattamento delle singole categorie di dati
4.2. Tipologie di dati degli studenti, dei docenti, del personale ATA e del dirigente scolastico
4.3. Il trattamento dei dati personali “comuni”
4.4. Il trattamento dei dati personali “particolari”
4.4.1. Trattamento dei dati personali nel rapporto di lavoro
4.4.2. Dati afferenti all’adesione ad organizzazioni sindacali
4.5. Trattamento dei dati personali “afferenti allo stato di salute”
CAPITOLO 5
LA SICUREZZA DEL TRATTAMENTO: LE MISURE TECNICHE E ORGANIZZATIVE ADEGUATE
Premessa
5.1. La minimizzazione del trattamento del dato personale
5.2. La limitazione del periodo di conservazione
5.3. La pseudonimizzazione del dato personale
5.4. L’anonimizzazione del dato personale
CAPITOLO 6
GLI ADEMPIMENTI FORMALI DEL TRATTAMENTO
Premessa
6.1. Il registro delle attività del trattamento
6.1.1. Il contenuto del registro del titolare del trattamento
6.1.2. Il contenuto del registro del responsabile “esterno” del trattamento
6.2. La valutazione di impatto
6.2.1. Trattamenti che richiedono la valutazione d’impatto
6.2.2. Casi in cui non è richiesta la valutazione di impatto
6.2.3. Caratteristiche minime della valutazione d’impatto
6.2.4. La conduzione della valutazione di impatto
6.2.5. Rischio residuale e necessità di consultare il Garante Privacy
6.3. L’informativa privacy
6.3.1. Contenuto dell’informativa
6.3.2. L’informativa facoltativa
6.4. La notifica di violazioni di dati personali
6.4.1. La notifica della violazione al Garante Privacy
6.4.2. Comunicazione della violazione all’interessato
6.4.3. Il registro delle violazioni
PARTE SECONDA
LA SPECIALITÀ DEI TRATTAMENTI IN AMBITO SCOLASTICO 93
CAPITOLO 1
I COMPITI DI INTERESSE PUBBLICO NELLA SCUOLA
Premessa
1.1. Inquadramento normativo
1.2. La pubblicazione sul web di dati contenuti in documenti amministrativi
1.3. Il fondamento giuridico della pubblicazione di documenti sul web
1.4. Il Decreto Ministeriale n. 305 del 7 dicembre 2006
1.4.1. Selezione e reclutamento a tempo indeterminato e determinato, e gestione del rapporto di lavoro (Scheda 1 del D.M. n. 305 del 2006)
1.4.2. Gestione del contenzioso e procedimenti disciplinari (Scheda 2 del D.M. n. 305 del 2006)
1.4.3. Organismi collegiali e commissioni istituzionali (Scheda 3 del D.M. n. 305 del 2006)
1.4.4. Attività propedeutiche all’avvio dell’anno scolastico (Scheda 4 del D.M. n. 305 del 2006)
1.4.5. Attività educativa, didattica e formativa, di valutazione (Scheda 5 del D.M. n. 305 del 2006)
1.4.6. Rapporti scuola – famiglie: gestione del contenzioso (Scheda 7 del D.M. n. 305 del 2006)
CAPITOLO 2
TRATTAMENTI DATI SPECIFICI E PARTICOLARI
2.1. Il trattamento delle immagini nell’attività giornalistica
2.2. L’uso delle immagini e dei filmati nella scuola
2.3. La videosorveglianza a scuola
2.4. Adempimenti
2.5. Cellulari a scuola
2.6. La Decisione di adeguatezza relativa al trasferimento dei dati personali tra l’UE e gli USA
CAPITOLO 3
IL DIRITTO DI ACCESSO AI DOCUMENTI AMMINISTRATIVI E DI ACCESSO CIVICO
Premessa
3.1. Normativa di riferimento
3.2. Le principali distinzioni tra le due forme di accesso
3.3. Accesso e riservatezza: l’organizzazione interna alla scuola
3.4. Quadro riepilogativo ed azioni a garanzia della trasparenza e della privacy
CAPITOLO 4
I TRATTAMENTI DI DATI PERSONALI NELL’AMBITO DEL RAPPORTO DI LAVORO
Premessa
4.1. Normativa di riferimento
4.2. Il trattamento dei dati particolari nell’instaurazione e gestione del rapporto di lavoro
4.3. Il medico competente
4.4. Assenze per ragioni di salute
4.4.1. Denuncia all’Inail
4.4.2. Visite medico-legali
4.3.3. Altre informazioni relative alla salute del dipendente
CAPITOLO 5
DATI PARTICOLARI E RAPPORTO DI LAVORO NELL’ISTITUZIONE SCOLASTICA
Premessa
5.1. Categorie di dati particolari
5.2. Rapporti con le organizzazioni sindacali
5.3. Dati relativi a concorsi e selezioni
5.4. Impronte digitali e accesso al luogo di lavoro
5.5. Dati idonei a rivelare le convinzioni religiose
5.6. La protezione dei cd. whistleblowers
CAPITOLO 6
DATI RELATIVI ALL’ORGANIZZAZIONE DEGLI UFFICI 169 PREMESSA
6.1. Atti in materia di organizzazione degli uffici
6.2. Limiti all’obbligo di pubblicazione
6.3. Cartellini identificativi
CAPITOLO 7
IL TRATTAMENTO DATI IN AMBITO ASSICURATIVO
Premessa
7.1. Con titolarità e autonoma titolarità
7.2. Il gestore dell’applicativo
7.3. I soggetti del trattamento in ambito assicurativo
7.4. La base giuridica del trattamento
7.5. Gli oneri di informativa sul trattamento dei dati personali nella prestazione assicurativa
7.6. La conservazione dei dati personali nella prestazione assicurativa
PARTE TERZA
LE TUTELE E LE SANZIONI
CAPITOLO 1
I DIRITTI DEL SOGGETTO INTERESSATO
Premessa
1.1. La limitazione dei diritti dell’interessato
1.2. Il diritto di accesso dell’interessato
1.3. Il diritto di cancellazione del dato personale
1.4. Il diritto di rettifica del dato personale 193
1.5. Il diritto di opposizione
1.6. Il diritto alla portabilità
1.7. Il diritto alla limitazione del trattamento
CAPITOLO 2
LE FORME DI TUTELA PREVISTE
2.1. L’alternatività delle forme di tutela
2.2. Il reclamo al Garante
2.3. La decisione sul reclamo del Garante
2.4. La segnalazione al Garante
2.5. Il ricorso all’autorità giudiziaria
2.6. Il diritto al risarcimento del soggetto interessato
CAPITOLO 3
IL QUADRO SANZIONATORIO
3.1. Le sanzioni amministrative
3.2. Le sanzioni amministrative previste dal Codice privacy
3.3. I poteri sanzionatori del Garante
3.4. L’applicazione delle sanzioni amministrative
3.4.1. Il soggetto sanzionabile
3.5. La responsabilità solidale
3.6. La responsabilità amministrativa del dirigente scolastico in caso di violazione del diritto alla Privacy 2
CAPITOLO 4
LE SANZIONI PENALI
Premessa 211
4.1. Il principio di ne bis in idem
4.2. Il trattamento illecito di dati
4.3. Il procedimento sanzionatorio
4.4. Casi di contenzioso penale
4.4.1. La comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala
4.4.2. La falsità nelle dichiarazioni al Garante ed interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante
4.4.3. Falsità ideologica commessa dal pubblico ufficiale in atti pubblici
4.4.4. L’inosservanza dei provvedimenti del Garante Privacy
4.5. La violazione delle disposizioni in materia di controlli a distanza ed indagini sulle opinioni dei lavoratori 4.6. Le pene accessorie
PARTE QUARTA
QUESITI
Rapporti con enti esterni
Mensa scolastica
Didattica
Comunicazioni tra docenti, genitori e terzi
Dati particolari
Diffusione (o pubblicazione) dati personali in rete
Adempimenti e formalità
Responsabilità