La privacy a scuola - Istituto Comprensivo di Mapello...il DSGA per la segreteria, il referente di...
48
P. Maini A. Quadri Collaboratori Scolastici Privacy a scuola La privacy a scuola Corsi di formazione per collaboratori scolastici Ottobre 2017 Pierpaolo Maini & Andrea Quadri
Transcript of La privacy a scuola - Istituto Comprensivo di Mapello...il DSGA per la segreteria, il referente di...
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
La privacy a scuola
Corsi di formazione per collaboratori scolasticiOttobre 2017
Pierpaolo Maini & Andrea Quadri
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 2
I concetti da ricordare
• Privacy e organizzazione• La logica del quanto basta• Le regole per le PA (la scuola)• “Il consenso nelle PA non serve e non sana”
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 3
I principi fondamentali
• La tutela della privacy è diritto fondamentale della persona
• Chiunque ha diritto alla protezione dei dati personali che lo riguardano (art. 1)
• Il trattamento dei dati personali è disciplinato assicurando un elevato livello di tutela dei diritti e delle libertà (art. 2)
• Chiunque ha diritto di sapere quali e dove vanno i propri dati
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 4
La protezione dei dati personali come regola dell’organizzazione
• Il codice inserisce il comma 1 bis nell’art. 2 D.Lgs 165/2001 “ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche”:
– I criteri di organizzazione delle Pubbliche Amministrazioni sono attuati nel rispetto della disciplina in materia di trattamento dei dati personali
Occorre modificare gli assetti organizzativise non rispettosi della privacy
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 5
Il cammino dell’incontro
I CASI: Le domande
I CASILe risposte
Sicurezzasanzioni
I dati sensibiligiudiziari
Le regoleper le PA
Differenze Pubblico
vs Privato
Principi&
logica
DirittiInformativaConsenso
Le norme:Codice
196/2003
DATI
OPERAZIONI
SOGGETTI
Privacy&
TrasparenzaD.Lgs. 33/2013
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 6
I casi: le domande1. E’ possibile che i genitori
facciano fotografie a scuola? Serve il consenso?
2. Possiamo pubblicare le foto delle attività scolastiche sul sito web della scuola?
3. Dove devono stare le programmazioni di classe con nomi degli alunni DSA?
4. Possiamo tenere i PEI negli armadi di classe per averli a disposizione?
5. Si possono mettere videocamere per controllare gli ingressi?
6. Si possono pubblicare gli elenchi degli studenti (classi) sui tabelloni o sul sito?
7. Posso vietare le foto dei tabelloni finali?
8. I questionari dei docenti di raccolta di informazioni famigliari dove vanno lasciati?
9. Cosa deve fare la scuola per rottamare i PC?
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 7
I casi: le domande1. E’ possibile fare fotografie a
scuola e distribuirle ai genitori? Serve il consenso?
2. Possiamo pubblicare le foto delle attività scolastiche sul sito web della scuola?
3. Nelle programmazioni di classe possiamo mettere i nomi degli alunni DSA?
4. Possiamo tenere i PEI negli armadi di classe per averli a disposizione?
5. Si possono mettere videocamere per controllare gli ingressi?
7. Si possono pubblicare gli elenchi degli studenti (classi) sul sito?
8. Posso vietare le foto dei tabelloni finali?
9. Posso far compilare un questionario ad inizio anno per raccogliere informazioni famigliari?
10.Cosa deve fare la scuola per rottamare i PC?
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 8
Riferimenti normativi
• General Data Protection Regulation (Regolamento UE 2016/679) - entra in vigore dal 25 maggio 2018immediatamente applicabile in tutti i Paesi UE
• Codice privacy: D.Lgs. 196/2003• Allegato B - Disciplinare tecnico in materia di misure minime di
sicurezza• Documenti del garante:
– La privacy a scuola– Linee guida PA pubblicazione sul WEB (02/03/2011)– Linee guida privacy e trasparenza on line (14/05/2014)– Provvedimenti
• Norme di legge sulle PA• Regolamento MIUR identificazione dati sensibili e giudiziari
(DM MIUR 305/2006)• Norme di legge sulla trasparenza
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 9
Struttura atomisticadel D.Lgs. 196/2003
• Parte I - Disposizioni generali• Parte II - Disposizioni relative a specifici
settori• Titolo VI - Istruzione
• Parte III – Tutela dell’interessato e sanzioni
• Allegato A – Codici di deontologia• Allegato B – Disciplinare tecnico in materia
di misure minime di sicurezza• Allegato C – Trattamenti non occasionali in
ambito giudiziario
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 10
Parte I-Disposizioni generali
– Titolo I - Principi generali– Titolo II - Diritti dell’interessato– Titolo III – Regole generali per il
trattamento dei dati– Titolo IV – Soggetti che effettuano il
trattamento– Titolo V – Sicurezza dei dati e dei
sistemi– Titolo VI - Adempimenti– Titolo VII - Trasferimento dei dati all’estero
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 11
Il garante della privacy
www.garanteprivacy.it• Capo I- Art.153-166 D.Lgs. 196/2003
– Il Garante è organo collegiale costituito da quattro componenti, eletti due dalla Camera e due dal Senato
– I componenti eleggono un presidente– Il Garante opera in piena autonomia e con
indipendenza di giudizio e di valutazione– Dura in carica 4 anni
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 12
Compiti del garante
1. Controllare se i trattamenti sono effettuati nel rispetto della disciplina
2. Esaminare i reclami e le segnalazioni e provvedere sui ricorsi
3. Prescrivere anche d'ufficio ai titolari del trattamento le misure necessarie
4. Vietare anche d'ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o disporne il blocco
5. Promuovere la sottoscrizione di codici deontologici6. Segnalare al Parlamento e al Governo l'opportunità di
interventi normativi 7. Esprimere pareri nei casi previsti 8. Curare la conoscenza tra il pubblico della disciplina
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 13
I dati
Dato personalequalunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione
Dati identificatividati personali che permettono l'identificazione diretta dell'interessato
Dati sensibilidati personali idonei a rivelare razza, etnia religione, politica, sindacato
dati personali idonei a rivelare lo stato di salutee la vita sessuale
Dati giudiziariDati in materia di casellario giudiziale, di sanzioni amministrative, o di imputato o di indagato
Dato anonimoil dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 14
Trattamentoqualunque operazione, anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati
Le operazione sui dati
Comunicazioneil dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione
Diffusioneil dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 15
I soggettiTitolare
la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo a cui competono, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;
Responsabilela persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali
Incaricatile persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile
Amministratore di sistema (non obbligatorio)compiti: realizzazione di copie di sicurezza (operazioni di backup e recovery dei dati) e custodia delle credenziali alla gestione dei sistemi di autenticazione e di autorizzazione.
Interessatola persona fisica cui si riferiscono i dati personali
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 16
A SCUOLA
TitolareL’Istituzione scolastica che opera attraverso il suo legale rappresentante (il Dirigente Scolastico)
Responsabile (nomina facoltativa)il DSGA per la segreteria, il referente di plesso per i trattamenti nel plesso, i referenti di classe, ..
Incaricatitutti coloro che per lo svolgimento del loro lavoro vengono a conoscenza di dati personali
Amministratore di sistemaconsulente esterno o esperto interno
Interessatoalunni, genitori, dipendenti, consulenti, fornitori, ecc.
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 17
Diritti dell’interessato art.7
• Accesso: conoscenza dei propri dati detenuti dal titolare
• Intervento: aggiornamento, rettificazione integrazione, cancellazione
• Opposizione: al trattamento per fini legittimi e/o per fini pubblicitari
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 18
L’informativa art. 13
• All’interessato:– Finalità e modalità del trattamento– Conferimento obbligatorio/facoltativo– Conseguenze del rifiuto– Responsabili di comunicazione e ambito
diffusione– Diritti art. 7– Titolare trattamento
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 19
Il consenso art. 23
• Trattamento da parte di privatiammesso solo se:– Consenso espresso dall’interessato– Espresso liberamente– Documentato per iscritto– Resa informativa art. 13– Per dati sensibili manifestato in forma
scritta
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 20
Principi e regole
Il trattamento va escluso quando può essere realizzato con dati anonimiI dati sono trattati in modo lecito e secondo correttezzaI dati sono raccolti per scopi determinati e legittimiI dati sono esatti, aggiornati, pertinenti e completiI dati sono non eccedenti rispetto agli scopiI dati sono conservati per un tempo non superiore a quello necessario agli scopi
Principio di necessità
Principio di completezza,
pertinenza
Principio di finalità
Principio di liceità
Principio di temporaneità
Principio di non eccedenza
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 21
La logica
• La regola di fondo è“il quanto basta”
– Solo ciò che serve e non di più rispetto alle necessità del trattamento
– Se l’informazione è delicata à solo ciò che è indispensabile
– Se il flusso è rischioso (web) à solo il necessario
Ogni trattamento deve essere proporzionato
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 22
Pubblico e privato
Trattamento di ente pubblico
• Unilateralità per lo svolgimento del servizio
• Solo per fini istituzionali
• Non serve il consenso
Trattamento da parte di privati
• Consenso espresso dell’interessato
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 23
Principi ai trattamenti da parte di PA (art.18)
• Le PA trattano di dati solo se è consentito per svolgere i compiti istituzionali
• Salvo le professioni sanitarie, non devono richiedere il consenso
• Il trattamento ….a) è consentito -> non serve consensob) non è consentito -> è illecito anche con il consenso
“Il consenso non serve e non sana”
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 24
Trattamento dati ordinari PA (art. 19)
• E’ consentito (per fini istituzionali) anche in mancanza di legge o regolamento
• Comunicazione ad altra PA, in assenza di legge, per svolgimento funzioni istituzionali
• Comunicazioni a privati solo se prevista da legge o regolamento
• Diffusione solo se prevista da legge o regolamento
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 25
Trattamento dati sensibili PA (art. 20)
• E’ consentito solo se autorizzato da espressa disposizione di legge o regolamento con indicati:1. Finalità di rilevante interesse pubblico (es.
finalità di istruzione e formazione in ambito scolastico)
2. Tipi di dati3. Operazioni eseguibili
Per MIUR regolamento DM 305/2006
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 26
MIUR regolamento DM 305/2006
• 7 ambiti, tipi di dati e relative operazioni eseguibili:
1. Reclutamento personale2. Procedimenti disciplinari3. Organismi collegiali4. Attività propedeutiche all’avvio a.s.5. Attività educativa, didattica, formativa,
valutazione6. Scuole non statali7. Scuola-famiglia: gestione contenzioso
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 27
Trattamento dati giudiziari PA (art. 21)
• E’ consentito solo se autorizzato da norme di legge o provvedimento del garante che specifichino:1. Finalità di rilevante interesse pubblico (es.
finalità di istruzione e formazione in ambito scolastico)
2. Tipi di dati3. Operazioni eseguibili
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 28
Principi sul trattamento dati sensibili e giudiziari PA (art.22)
1. Obbligo informativa agli interessati2. Solo dati indispensabili per attività
istituzionali che non possono essere svolte con dati anonimi
3. Verifica periodica esattezza, pertinenza, non eccedenza
4. Se conservazione elettronica con cifratura5. I dati di salute e vita sessuale separati da
altri personali6. I dati di salute non possono essere diffusi
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 29
Obblighi di Sicurezza (art.31)
• I dati personali sono custoditi e controllati, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di:– distruzione o perdita,– di accesso non autorizzato – di trattamento non consentito o non
conforme
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 30
Misure minime di sicurezza con strumenti elettronici (art.34)
• Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:a) autenticazione informatica;b) procedure di gestione delle credenziali di autenticazione;c) utilizzazione di un sistema di autorizzazione;d) aggiornamento periodico dell'individuazione dell'ambito del
trattamento consentito ai singoli incaricati e) protezione degli strumenti elettronici e dei dati rispetto a
trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 31
Misure minime di sicurezza senza l’ausilio di strumenti
elettronici (art.35)• Il trattamento di dati personali effettuato senza
l'ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:a) aggiornamento periodico dell'individuazione dell'ambito
del trattamento consentito ai singoli incaricati o alle unità organizzative;
b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati.
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 32
Sanzioni civili (art.15)
• Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile.
Chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno.
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 33
Violazioni amministrative (art. 161-166)
• Omessa o inidonea informativa: Sanzione da 6.000€ a 18.000€
• Violazione misure minime di sicurezza:Sanzione da 10.000€ a 120.000€
Se di minore gravità, con riguardo alla natura sociale dell’attività, ridotti a 2/5
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 34
Illeciti penali (art. 167-172)
• Trattamento illecito dei dati personali per profitto o per recare danno:
Reclusione da 6 a 18 mesiSe comunicazione o diffusione da 6 a 24 mesi
• Trattamento illecito dei dati sensibili o giudiziari per profitto o per recare danno:
Reclusione da 1 a 3 anni
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 35
I casi: le risposte
Riprendiamo i casi iniziali
dedichiamo 5’ a rivedere le risposte
• Confermate le risposte date prima?• O le cambiate?
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 36
I casi: le domande1. E’ possibile che i genitori
facciano fotografie a scuola? Serve il consenso?
2. Possiamo pubblicare le foto delle attività scolastiche sul sito web della scuola?
3. Dove devono stare le programmazioni di classe con nomi degli alunni DSA?
4. Possiamo tenere i PEI negli armadi di classe per averli a disposizione?
5. Si possono mettere videocamere per controllare gli ingressi?
6. Si possono pubblicare gli elenchi degli studenti (classi) sui tabelloni o sul sito?
7. Posso vietare le foto dei tabelloni finali?
8. I questionari dei docenti di raccolta di informazioni famigliari dove vanno lasciati?
9. Cosa deve fare la scuola per rottamare i PC?
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 37
1. E’ possibile che i genitori facciano fotografie a scuola? Serve il consenso?
Sì, farle (da parte dei genitori) o da parte della scuola (per documentazione)No distribuirle da parte della scuola non avendo come fine istituzionale la diffusione della foto non può, salvo che la distribuzione entri in un progetto istituzionale (es. concorso)Non violano la privacy le riprese video e le fotografie raccolte dai genitori durante le recite, le gite e i saggi scolastici. Le immagini in questi casi sono raccolte a fini personali e destinati ad un ambito familiare o amicale. Nel caso si intendesse pubblicarle e diffonderle in rete, anche sui social network, è necessario ottenere di regola il consenso delle persone presenti nei video o nelle fotoFonte: Garante: La privacy a scuola
Nota: à Necessaria informativa art.13
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 38
2. Possiamo pubblicare le foto delle attività scolastiche sul sito web della
scuola? Sì, per funzione istituzionale di pubblicazione di documenti o di vita della scuola o iniziative ed equiparata ad attività giornalistica legata alla vita della scuola.Non è possibile in alcun modo pubblicare dati relativi allo stato di salute delle persone (art. 22 c.8)
Fonte: Codice art.136 finalità giornalistiche ed altre manifestazioni
Nota: la scuola deve dare informativa (tipo di foto, modalità di scelta delle foto, sito, ecc.) e specificare che il trattamento sul sito ha natura temporanea, solo il tempo necessario per la finalitàMinori ritratti solo in momenti “positivi” legati alla vita della scuola
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 39
3. Dove devono stare le programmazioni di classe con nomi degli alunni DSA?
Servono per scopi istituzionali. Sono dati sensibili.Devono essere in armadi non accessibili ai non interessati.In locali riservati ed in armadi con chiusura
Fonte: Codice: principio di necessità, di non eccedenza, misure di sicurezza
Nota: Se dimenticati, il collaboratore scolastico che fa pulizie cosa deve fare?
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 40
4. Possiamo tenere i PEI negli armadi di classe per averli a disposizione?
No, perché i dati personali richiedono sempre misure di sicurezza, anche per dati in formato non elettronico occorrono procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti
Fonte: Codice art.35 Misure minime di sicurezza con strumenti non elettronici ed Allegato B
Nota: L’allegato B per i dati sensibili con strumenti non elettronici prevede: quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 41
5. Si possono mettere videocamere per controllare gli ingressi?
Sì, Si possono in generale installare telecamere all’interno degli istituti scolastici, ma devono funzionare solo negli orari di chiusura degli istituti e la loro presenza deve essere segnalata con cartelli. Se le riprese riguardano l’esterno della scuola, l’angolo visuale delle telecamere deve essere opportunamente delimitato. Le immagini registrate devono essere cancellate in generale dopo 24 ore.Le aree perimetrali esterne per finalità di sicurezza possono essere oggetto di ripresa durante l’orario di apertura.Fonte: Garante: La privacy a scuola
Nota: va sempre messo il cartello che avvisa della presenza delle telecamere.
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 42
6. Si possono pubblicare gli elenchi degli studenti (classi) sul sito?
No, perché il Garante, dopo avere ribadito, in relazione alla diffusione, che le pubbliche amministrazioni, nel mettere a disposizione sui propri siti istituzionali dati personali, contenuti anche in atti e documenti amministrativi devono preventivamente verificare che una norma di legge o di regolamento preveda tale operazione di trattamento.Neanche per utilità: scuolabus, mensa, ecc.Fonte: Linee guida in materia di trattamento di dati personali contenuti
anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web
Nota: vedi provvedimento 383 2012 contro liceo di Roma: “illiceità della diffusione di dati personali in esame, in quanto effettuata dal Liceo in assenza di una norma di legge o di regolamento che la ammetta (art. 19, comma 3, del Codice)”Se non osservato il divieto sanzione da 30.000 a 180.000€
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 43
7. Posso vietare le foto dei tabelloni finali?
No, In riferimento alla notizia relativa all'iniziativa di alcuni presidi degli istituti superiori di Cremona, dove sono stati affissi cartelli in cui si fa divieto di fotografare gli esiti finali degli allievi, l'ufficio stampa del Garante precisa che nessuna norma del Codice sulla protezione dei dati personali preclude la piena pubblicità degli scrutini scolastici, la possibilità di accesso ai luoghi dove essi sono esposti e di trarne notizia prendendo appunti per usi personali, eventualmente anche con foto. Non si può utilizzare il Codice per precludere la piena pubblicità degli esiti finali: se poi vi fosse, a posteriori, un eventuale uso non corretto, questo sarebbe ovviamente verificabile.Fonte: Comunicato stampa del Garante del 14 giugno 2015
Nota: i dati relativi agli esiti scolastici, per quanto riferiti a minori, non sono dati sensibili, ma attengono esclusivamente al rendimento scolastico degli allievi.
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 44
8. I questionari dei docenti di raccolta di informazioni famigliari dove vanno
lasciati?
Devono essere ricondotti a scopi istituzionaliSe riguarda attività di ricerca con la raccolta di informazioni personali tramite questionari da sottoporre agli studenti è consentita solo se ragazzi e genitori sono stati prima informati sugli scopi delle ricerca, le modalità del trattamento e le misure di sicurezza adottate. Gli studenti e i genitori devono essere lasciati liberi di non aderire all'iniziativa.Contenendo dati personali identificativi devono stare in posti accessibili solo agli interessati istituzionali (Docenti di classe)
Fonte: Codice e Garante: La privacy a scuolaCodice art.35 Misure minime di sicurezza con strumenti non elettronici ed Allegato B
Nota: attenzione a non lasciarli sulla cattedra o nel cassetto della cattedra accessibile ad alunni o altri
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 45
13. Cosa deve fare la scuola per rottamare i PC?
In caso di smaltimento di rifiuti elettrici ed elettronici, l'effettiva cancellazione dei dati personali dai supporti contenuti nelle apparecchiature elettriche ed elettroniche va effettuata con procedure che comportino la distruzione dei supporti di memorizzazione, quali:
– sistemi di punzonatura o deformazione meccanica;– distruzione fisica o di disintegrazione (usata per cd-rom e dvd);– demagnetizzazione ad alta intensità.
Fonte: Garante provvedimento: Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati personali –13 ottobre 2008
Nota: in caso di reimpiego, occorrono misure tecniche per la cancellazione sicura dei dati:
– Cancellazione sicura delle informazioni, ottenibile con programmi informatici– Formattazione "a basso livello" dei dispositivi di tipo hard disk – Demagnetizzazione dei dispositivi di memoria
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 46
Trasparenza e privacy
• Legge trasparenza 191/2012 à D.lgs 33/2013: obbligo PA pubblicazioni informazioni ed accesso civico
• Codice privacy per le PA: solo se previsto da norma o regolamento
• Linee guida del garante: maggio 2014
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 47
Sintesi linee guida• Le PA devono pubblicare solo dati esatti, aggiornati e contestualizzati• Pubblicazione di dati personali solo se esiste una norma di legge o
di regolamento che lo preveda• Se le Pa intendano pubblicare dati personali ulteriori rispetto al D. Lgs.
33/2013 devono procedere prima all'anonimizzazione di questi dati• E' sempre vietata la pubblicazione di dati sulla salute e sulla vita
sessuale• Il periodo di mantenimento on line dei dati è fissato in 5 anni dal D.Lgs
33/2013• Se sono stati raggiunti gli scopi per i quali essi sono stati resi pubblici, i
dati personali devono essere oscurati anche prima del termine dei 5 anni
• Il rispetto dei principi di esattezza, necessità, pertinenza e non eccedenza, permanenza limitata nel tempo dei dati personali, vale anche per la pubblicazione di atti per finalità diverse dalla trasparenza
P. M
aini
A. Q
uadr
iCo
llabo
rato
ri Sc
olas
tici
Priv
acy
a sc
uola
Pag. 48
Buon utilizzo delle norme!!!
