E’ partito l’anno scolastico nuovo, senza più restrizioni legati al covid 19 e senza controlli del green pass, rimangono inalterati però tutte le attenzioni e gli obblighi di legge legate alla privacy.
È importante che dirigenti e personale amministrativo siano sempre formati su quello che prevedono le normative in termini di privacy e gestione dei dati personali (GDPR).
Il GDPR la nuova disciplina europea in termini di trattamento dei dati personali
Il GDPR è il Regolamento Generale sulla Protezione dei Dati, la nuova disciplina europea che tutela le persone fisiche in cui i dati vengono trattati da terze parti sia per le aziende private che per la Pubblica Amministrazione.
I sei pilastri principali del regolamento sono: Liceità correttezza , trasparenza, integrità e riservatezza dei dati, limitazione della conservazione, esattezza delle informazioni, minimazione dei dati raccolti, limitazione delle finalità.
Prendendo come riferimento quanto riportato da Lucia Galamero su Agenda Digitale, il titolare dei dati , figura fondamentale nella gestione dei dati personale ha l’obbligo ad inizio anno scolastico di aggiornare, l’organigramma della privacy, che comprende la revisione delle nomine e controllo dei responsabili del trattamento, deve aggiornare inoltre e diffondere le informative sulla privacy per tutti gli interessati e quindi parliamo di alunni, genitori, fornitori e dipendenti)
Gli obblighi del Titolare dei dati
È importante la comunicazione: la documentazione deve essere facilmente accessibile e intellegibile da parte di tutti gli attori in gioco. L’informativa deve contenere le informazioni circa il periodo di conservazione dei dati, i diritti dell’interessato e i riferimenti del titolare dei dati, secondo quanto richiesto dal GDPR stesso negli articoli 12, 13 e 14.
Le persone devono essere informate relativamente alla presenza di dati personali, chi ne è il responsabile, e la durata della conservazione degli stessi dati
Un altro obbligo di legge del titolare dei dati è quello relativo alla tenuta ed aggiornamento del registro delle attività di trattamento. Documento che deve essere aggiornato con regolarità con tutte le informazioni su tutti i trattamenti effettuati dall’Istituto scolastico.
Il registro dei rischi oltre ad essere un elemento obbligatorio di legge è anche uno strumento utile per avere un quadro di insieme dei trattamenti sui dati personali con tutte le variazioni che possono accadere durante l’anno, inoltre è anche il mezzo con cui effettuare la valutazione e “l’analisi del rischio, in quanto consente la ricognizione, la mappatura e la valutazione di conformità di tutte le attività svolte nella scuola”.
Cosa può essere pubblicato sul sito internet della scuola
Altro aspetto che i Dirigenti scolastici devono ricordarsi è quello di aggiornare la pagina sul sito internet della scuola con la documentazione laddove fosse stata cambiata e sempre sul portale della scuola devono pubblicare i dati di contatto del responsabile della protezione dei dati (RPD) all’interno di una sezione della pagina facilmente accedibile dall’utente, presumibilmente nella sezione “amministrazione trasparente” oltre che nella specifica sezione privacy.
Nel sito web della scuola vanno pubblicati solo i dati la cui diffusione risulti realmente necessaria e prevista dalle norme, per esempio uno degli errori tipici è quello di pubblicare gli elenchi degli alunni suddivisi per classe. Il MIUR consiglia di inviare una mail ai genitori indicando la sezione di appartenenza ed è inoltre consentita la pubblicazione al tabellone esposto nella bacheca scolastica dei nominativi degli studenti distinti per classe.
L’importanza della sicurezza informatica
Per ultimo ma non per importanza va segnalato che Privacy e Sicurezza informatica vanno di pari passo.
Non ci può essere protezione e salvaguardia del dato senza una adeguata infrastruttura di sicurezza e relativa formazione del personale. La sicurezza non è un tema dove ci si può permettere di improvvisare.
La scuola ha la responsabilità di garantire la privacy dei dati con una protezione adeguata del sistema informatico che deve essere protetto da apparati denominati firewall in grado di filtrare il traffico dati proteggere da attacchi informatici ed effettuare il controllo sugli accessi al sistema informativo.
Gli accessi al sistema informativo devono essere effettuati prima di tutto con credenziali personali e tramite profili differenziati per ruolo; si deve consentire l’accesso solo alle cartelle e dati di stretta necessità operativa.
In conclusione, la privacy e la protezione dei dati personali rivestono una fondamentale importanza anche nel mondo scolastico, è importante applicare processi, strumenti e formazione adeguata a tutti i livelli e ruoli per evitare ogni tipo di violazione.