Nel corso degli ultimi anni, anche per fronteggiare le varie difficoltà che sono state causate dalla pandemia, le scuole hanno cominciato ad utilizzare sempre più il registro elettronico, al fine di inviare circolari e comunicazioni agli alunni e al personale.
Ma non è finita qui: il registro, che viene fornito dai soggetti ritenuti responsabili del trattamento, è stato utilizzato anche per lo svolgimento di attività didattiche, così come suggerito dal Garante privacy.
Il registro elettronico e il suo ruolo durante la pandemia
Antonello Soro, l’allora presidente dell’Autorità, aveva affermato, in una lettera al Ministro dell’Istruzione, che «la crescente rilevanza assunta, nell’attuale fase emergenziale, dagli strumenti volti a consentire lo svolgimento dell’attività didattica a distanza impone di riservare maggiore attenzione alle questioni inerenti la sicurezza e la protezione dei dati personali affidati a tali piattaforme».
Il registro elettronico aveva la fama di essere uno degli strumenti online maggiormente sicuri, soprattutto per quanto riguarda le garanzie offerte in materia di protezione dei dati.
Secondo tali indicazioni, sempre più scuole hanno cominciato a scoprire le vere potenzialità del mezzo, sfruttandolo per la condivisione di informazioni alla famiglia e al personale. Sempre nello stesso periodo, l’Autorità aveva suggerito l’utilizzo del registro anche per altre finalità: ovvero per la pubblicazione online degli esiti di verifiche e interrogazioni.
In un suo intervento, il Garante aveva affermato che, dato che la pubblicazione online era «una forma di diffusione di dati particolarmente invasiva, e non coerente con la più recente normativa sulla privacy», è assolutamente indispensabile che la pubblicità degli esiti si realizzi «senza violare la privacy degli studenti, prevedendo la pubblicazione degli scrutini non sull’albo on line, ma, utilizzando altre piattaforme che evitino i rischi sopra evidenziati».
Il Ministero dell’Istruzione, di conseguenza, in collaborazione con il Garante, aveva deciso di emanare la circolare ministeriale 9168/2020, che specificava come comunicare correttamente gli esiti scolastici online.
Nella nota del Ministero, al fine di garantire una maggior tutela della privacy degli studenti, si ricordava che la pubblicazione online doveva avvenire soltanto con il registro elettronico, e non sul sito web, visualizzabile e accessibile da tutti.
In ogni caso, la pubblicazione delle informazioni e dei documenti sul registro non evita sanzioni nel caso di disattenzioni oppure scarsa preparazione del personale di segreteria adibito al trattamento dei dati.
Condivisione di dati personali
Nel caso in cui vengano condivisi i documenti con il registro elettronico bisogna fare attenzione per quanto riguarda le modalità di pubblicazione e la tipologia dei dati trattati.
Capita, infatti, che per incompetenza o per una semplice distrazione, vengano rese pubbliche delle informazioni anche a persone che non hanno alcun diritto di conoscerle.
Per esempio, un anno fa il Garante privacy ha sanzionato un liceo che aveva pubblicato in un’area del registro dedicata agli insegnanti, un’indicazione su una docente, ovvero “legge 104 non grave”. In merito a questa pubblicazione, il Garante ha specificato che i dati personali dei docenti e dei dipendenti non possono in alcun modo essere resi disponibili al personale non autorizzato a trattare tali dati.
Se la condivisione è limitata ad un numero ristretto di soggetti, per essere considerata legittima dovrà rivolgersi alle persone che possono conoscere tali informazioni lecitamente. Tra i dati condivisi c’erano anche delle “categorie particolari di dati”.
Secondo l’art.4 par.1 n.15 del Regolamento, i dati relativi alla salute sono «i dati personali attinenti alla salute fisica e mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni sul suo stato di salute».
Inoltre, «anche il riferimento alla legge 104, che notoriamente disciplina benefici e garanzie per l’assistenza, l’integrazione sociale e lavorativa di persone disabili o di loro familiari, consente di ricavare informazioni sullo stato di salute di una persona (provv. 28 maggio 2020, n. 92, doc. web n. 9434609)»
L’informazione relativa allo stato di gravidanza e quella relativa all’interdizione dal lavoro, per esempio, sono considerate informazioni di dati relativi alla salute.
Iscriviti al canale Telegram di Servicematica
Notizie, aggiornamenti ed interruzioni. Tutto in tempo reale.
Una scuola ha messo correttamente a disposizione di ogni docente il documento relativo all’orario all’interno di un’area privata del registro. Tuttavia, ha commesso il grosso errore di condividerlo nella sua versione integrale, che contiene i dati riservati.
I docenti, in sostanza, non dovevano venire a conoscenza dei dati sulla salute dei colleghi. Tali informazioni avrebbero dovuto essere disponibili soltanto per il personale autorizzato di segreteria.
L’Autorità ha quindi affermato che «la consultabilità nell’area riservata del registro elettronico della versione integrale del predetto documento ha di fatto reso conoscibili a tutto il personale docente dell’Istituto informazioni, anche relative alla salute, della reclamante e di altri interessati e ha reso, inoltre, gli stessi docenti vicendevolmente edotti in merito a situazioni personali, familiari o comunque attinenti allo specifico rapporto di lavoro di ciascuno».
«Considerato che tutto il personale della scuola non può essere ritenuto autorizzato a trattare i dati in questione, non può essere ritenuta conforme al quadro normativo in materia di protezione dei dati la messa a disposizione di dati personali di tutto il personale in servizio in modo generalizzato e indistinto».
Sanzioni ad un liceo per condivisione ingiustificate di informazioni personali
Il Garante ha sanzionato un liceo a causa della pubblicazione sul proprio sito e sul registro elettronico di una circolare che riguarda le ferie estive dei collaboratori scolastici, con allegato il prospetto del piano delle ferie che riportava, vicino al nominativo del personale, l’indicazione “104”.
Il Garante stesso ha ricordato il provvedimento 146 del 5 giugno 2019, che precisa che «quando per ragioni di organizzazione del lavoro, e nell’ambito della predisposizione di turni di servizio, si proceda a mettere a disposizione a soggetti diversi dall’interessato (ad esempio, altri colleghi) dati relativi a presenze ed assenze dal servizio, il datore di lavoro non deve esplicitare, nemmeno attraverso acronimi o sigle, le causali dell’assenza dalle quali sia possibile evincere la conoscibilità di particolari categorie di dati personali».
Dunque, anche se la condivisione, in questo caso, è avvenuta in un’area privata del registro, moltissimi colleghi della collaboratrice sono venuti a conoscenza delle sue informazioni riservate.
Per quanto riguarda la condivisione del piano mediante registro elettronico, invece, si è evidenziato come, nonostante sia avvenuta all’interno di un’area riservata che non poteva essere accessibile a tutti, «la conoscibilità dei dati ivi determinabile, assai ampio di soggetti, ossia tutti i colleghi della reclamante appartenenti al personale ATA, e non invece esclusivamente a vantaggio del solo personale di segreteria».
Per queste ragioni, l’Istituto, in maniera del tutto ingiustificata, ha fatto conoscere a tutti i dipendenti le causali e i periodi di assenza dei colleghi, con tutte le loro informazioni sulle vicende personali e sulla loro salute, violando, in tal senso, i loro dati personali.
Per concludere
I provvedimenti del Garante ci mettono di fronte al fatto che le scuole debbano assolutamente prestare molta attenzione prima di pubblicare dei documenti sul registro elettronico, soprattutto se a questa condivisione segue un’illecita divulgazione dei dati personali online.
Dovranno essere valutate anche le informazioni che si intendono condividere, considerando anche che i “dati relativi alle condanne penali e reati” e le “categorie particolari di dati” non devono assolutamente essere comunicati a chi non ha diritto a conoscerli.
Il Garante, inoltre, ha specificato come nelle circolari, o in generale nelle comunicazioni condivise con i genitori che non siano rivolte a destinatari specifici, non ci possono essere dati personali che identifichino gli alunni.
LEGGI ANCHE: