Con il provvedimento del 29 dicembre 2023, il Garante della Privacy ha reso noto che l’attività ispettiva riguarderà anche le istituzioni scolastiche. L’attività ispettiva riguarderà i trattamenti di dati personali svolti attraverso le “piattaforme di registro elettronico e suite digitali”.
Il potere d’indagine, riconosciuto all’Autorità, fa riferimento all’Art. 58 del GDPR e agli Artt. 157 e 158 del D. Lgs. 30 giugno 2003, n. 196.
Fino a luglio le scuole potranno essere oggetto di ispezioni disposte dallo stesso Garante, anche col supporto del nucleo ispettivo della Guardia di Finanza.
Come previsto dallo stesso Garante, le scuole dovranno conservare ed esibire la documentazione inerente il registro elettronico ed eventuali suite digitali.
Registro elettronico
In fase di controllo la scuola dovrà esibire i seguenti documenti:
- Nomina del fornitore quale responsabile del trattamento, ai sensi dell’Art. 28 del GDPR;
- Copia del contratto stipulato con il fornitore del servizio per la gestione dei dati di studenti, genitori, docenti, amministrativi e altro personale per conto della scuola;
- Le misure tecniche e organizzative adottate dal fornitore per la sicurezza del servizio;
- Copia dell’informativa privacy relativa al trattamento dei dati personali degli alunni e degli operatori scolastici;
All’interno dell’informativa privacy, dovrà essere evidenziata la comunicazione dei dati all’impresa fornitrice del registro elettronico. Dovrà, inoltre, essere indicato che le finalità di trattamento sono limitate esclusivamente al perseguimento dei compiti istituzionali della scuola.
Suite digitali
In merito alle suite digitali, su richiesta degli ispettori, dovranno essere prodotti i segunenti documenti:
- Informativa privacy relativa alle attività didattiche digitali;
- Regolamenti per la Didattica Digitale Integrata (DDI)
- Nomina del fornitore quale responsabile del trattamento, ai sensi dell’Art. 28 del GDPR;
- Valutazione del rischio con parere del responsabile della protezione dei dati;
- Autorizzazione al trattamento e istruzioni per l’amministratore della piattaforma
Le linee guida relative alla DDI, sono contenute nel vademecum “La scuola a prova di privacy”, reperibile nella pagina tematica del sito del Garante.
Il reato penale
Il trattamento illecito di dati è un reato previsto dall’Art. 167 del Codice della privacy.
Occorre, tuttavia, precisare che, per definire reato l’illecito trattamento, occorrono tre elementi essenziali e contestuali. Per prima cosa il trattamento dev’essere effettuato non conformemente ai fini istituzionali della P.A. A questo primo aspetto vanno aggiunti volontà di procurare ad altri un danno, o trarne profitto, e l’effettivo danno all’interessato. Per questo reato sono previste sanzioni amministrative anche molto rilevanti.
Per la mancata osservanza dei provvedimenti del garante è prevista, invece, una sanzione penale ai sensi dell’Art. 170 del Codice della privacy.
Il profilo assicurativo
Le polizze assicurative escludono sempre il caso di dolo, come anche il rimborso delle sanzioni.
Le migliori formule assicurative operanti nella scuola prevedono, tuttavia, nel ramo di tutela legale, il rimborso delle spese dell’avvocato e del perito per la difesa.
Qualora dalla mancata protezione dei dati scaturisse un danno a un terzo, il risarcimento potrà essere tutelato dalla specifica polizza di responsabilità patrimoniale del Dirigente
Se desideri maggiori informazioni sulle polizze di Responsabilità Civile Patrimoniale e di tutela legale nella scuola, contattaci qui.