Garante-Privacy – richiesta-informazioni del 08.01.2020
L’utilizzo del registro elettronico – seppure con qualche mugugno – è ormai stato introdotto nella generalità delle scuole.
Tuttavia – fin dall’inizio – si era rilevato che l’adozione del R.E. non era stata accompagnata dalle opportune verifiche da parte delle competenti Autorità ed in particolare del Garante della privacy.
Recentemente, a seguito di segnalazione da parte di un docente sottoposto a ben 4 procedimenti disciplinari per non aver usato il Registro Elettronico allo scopo di tutelare la privacy dei propri alunni e delle famiglie, il Garante ha ritenuto di intervenire chiedendo all’istituto di servizio del docente di fornire adeguate informazioni a riguardo, specificando in particolare:
a) la base giuridica del trattamento;
b) le misure con cui viene garantito il rispetto del principio di trasparenza nei confronti degli interessati, in particolare attraverso le informazioni che devono essere fornite ai docenti, genitori e alunni, ai sensi degli artt. 13 e 14 del Regolamento (Ue) 2016/679, con specifico riferimento all’utilizzo del registro elettronico;
c) il ruolo assunto dalla società in relazione al trattamento dei dati personali contenuti nel registro elettronico (es. responsabile del trattamento) in base alla disciplina in materia di protezione dei dati personali, fornendo altresì copia dei relativi atti giuridici;
d) le tipologie di dati trattati nell’ambito del suddetto registro, specificando quelle che devono essere obbligatoriamente inserite a cura della scuola;
e) le istruzioni fornite al personale autorizzato ad accedere al registro elettronico;
f) le misure tecniche e organizzative adottate al fine di garantire un’adeguata sicurezza dei dati personali trattati tramite il registro elettronico (artt. 5, comma 1, lett. f), e 32 del Regolamento), con particolare riferimento a:
– l’architettura informatica del sistema, indicando le modalità di erogazione del servizio (cloud o on premise) e la relativa analisi del rischio effettuata;
– le modalità di autenticazione e le relative politiche di sicurezza;
– le procedure di abilitazione degli utenti;
– i profili di autorizzazione attribuiti alle diverse categorie di utenti del registro, indicando le operazioni eseguibili e le tipologie di dati a cui possono accedere;
– le misure adottate per garantire la sicurezza, integrità e immodificabilità dei dati personali, con particolare riferimento alle informazioni che obbligatoriamente devono essere inserite da parte della scuola;
– le modalità di interazione del suddetto servizio con altre applicazioni informatiche;
g) i tempi di conservazione dei dati;
h) l’eventuale valutazione di impatto effettuata ai sensi dell’art. 35 del Regolamento.
In merito alla tematica relativa all’utilizzo del registro elettronico, il Garante ha ricordato che il MIUR avrebbe dovuto predisporre un “Piano per la dematerializzazione delle procedure amministrative in materia di istruzione, università e ricerca e dei rapporti con le comunità dei docenti, del personale, studenti e famiglie” che non risulta, a tutt’oggi, adottato.
Sembrerebbe inoltre che siano emersi taluni profili critici derivanti dall’utilizzo del registro elettronico, in relazione al quale non sarebbe stata effettuata una valutazione d’impatto sui diritti e le libertà degli interessati ai sensi dell’art. 35 del Regolamento (UE) 2016/679.