Le scuole tra trasparenza e riservatezza Avv. Laura Paolucci 1 I due regolamenti del 2006 Il DPR 184/2006 specifica le modalità di esercizio del diritto di accesso ai documenti amministrativi Il DM 305/2006 identifica i dati sensibili e giudiziari e le operazioni di trattamento del MPI (USR-USP) e delle istituzioni scolastiche 2 Le due leggi Trasparenza dell’azione amministrativa (L 241/90) Riservatezza quale protezione dei dati personali (DLgs 196/03) concetti non antitetici 3 Le due leggi….. ….impongono entrambe regole di condotta ….positive obbligo di partecipazione al procedimento; obbligo di motivazione, dovere di minimizzazione del rischio, indispensabilità nel trattamento dei dati sensibili… ….negative divieto di aggravamento del procedimento; divieto di diffusione dei dati sanitari….. 4 …partiamo dal d.lgs. N. 196/2003 Il DLgs 196/2003, molto più della L. 241/90, incide sulla quotidianità della vita delle organizzazioni e quindi delle scuole, che trattano fra le organizzazioni una enorme massa di dati personali, per numero di “utenti” e di dipendenti 5 d.lgs.30.6.2003, n. 196 Il codice in materia di protezione dei dati personali abroga e sostituisce la L.31.12.1996, n. 675 dal giorno della sua entrata in vigore (1.1.2004, salvo che per alcune particolari disposizioni) (art. 183) 6 Le informazioni acquisite rielaborate (strumenti cartacei o elettronici) girate (ad altri) 7 Riservatezza dei dati Effetto dello sviluppo della tecnologia e della diffusione delle informazioni nel villaggio globale Facilità di raccolta delle informazioni Economicità della gestione Convenienza ed utilità economiche 8 Dalla riservatezza alla privacy * il potere del singolo di “nascondere” le sue “verità”, quei fatti che necessariamente rappresentano dell’individuo qualcosa di “vero” * il potere del singolo individuo di avere il controllo sulle informazioni che gli appartengono 9 Atto di volontà Una data “verità” dovrà essere considerata riservata quando e solo quando il soggetto a cui essa “appartiene” la vorrà ritenere tale. La riservatezza riguarda l’uso delle informazioni fatto da terzi. 10 Protezione dei dati personali come regola dell’organizzazione Il diritto alla protezione dei propri dati personali, attribuito a chiunque, influisce sui criteri di organizzazione della P.A., criteri che devono essere attuati nel rispetto della disciplina in materia di trattamento dei dati personali (l’art. 176 modifica l’art. 2 d.lgs. 165/2001) 11 Chiave di lettura del Codice consigli per non impazzire leggere tutti gli articoli, focalizzando la struttura del decreto in titoli e capi ed il loro contenuto acquisire dimestichezza con la terminologia e le definizioni identificare gli “attori” implicati identificare con precisione le regole applicabili ai soggetti pubblici 12 Ci accorgeremo che… …..se oggetto di protezione è la circolazione delle informazioni al fine di consentire al “proprietario” il diritto di controllo sul relativo flusso, le regole di tale circolazione si “aggravano” a seconda che il flusso sia (solo) interno o (anche) esterno ed a seconda della “vicinanza” delle informazioni alla sfera più intima del “proprietario” delle stesse 13 Il DM 305 si inserisce… a) b) ….quale fonte normativa atta a completare la disciplina relativa al trattamento dei dati sensibili e giudiziari da parte delle scuole individuando: quali dati sensibili e/o giudiziari possano essere trattati quali operazioni possano essere effettuate in relazione alle varie finalità ri rilevante interesse pubblico 14 Il DM 305 presuppone adempiute le regole organizzative per il flusso interno dato personale dato identificativo dato sensibile dato giudiziario trattamento comunicazione diffusione *titolare *responsabile *incaricato 15 Scuola e titolare Titolare è l’ istituzione scolastica (che è ente dotato di personalità giuridica) che opera attraverso il suo legale rappresentante (dirigente scolastico) 16 Scuola e responsabile In base alla concreta organizzazione della scuola, il DS può nominare il DSGA (per i trattamenti effettuati dalla segreteria); il referente di plesso (per i trattamenti effettuati nel plesso); il referente di classe; i prestatori “esterni” di servizi che si svolgono “dentro” la scuola…….. 17 incaricati Tutti coloro che per lo svolgimento della propria attività lavorativa vengono a conoscenza di dati personali devono necessariamente essere designati come incaricati 18 interessato la persona fisica, giuridica, l’ente o l’associazione cui si riferiscono i dati personali (è il “proprietario” dei dati personali) 19 Regole ulteriori per i soggetti pubblici (Titolo III-Capo II) principi applicabili a tutti i trattamenti effettuati da soggetti pubblici principi applicabili al trattamento dei dati ordinari principi applicabili al trattamento dei dati sensibili principi applicabili al trattamento dei dati giudiziari principi applicabili al trattamento dei dati sensibili e giudiziari 20 Principi applicabili a tutti i trattamenti effettuati da soggetti pubblici (art. 18) la P.A. tratta i dati ordinari se servono a svolgere le funzioni istituzionali la P.A. non deve chiedere il consenso (salvo gli enti sanitari per i dati inerenti la salute) 21 Principi applicabili al trattamento dei dati ordinari (art. 19) la P.A. tratta i dati personali solo quando necessario per svolgere le proprie funzioni istituzionali la comunicazione ad altro ente pubblico, in assenza di espressa previsione di legge o di regolamento, è consentita per lo svolgimento delle funzioni istituzionali e previa comunicazione al Garante la comunicazione a privati e la diffusione sono ammesse solo quando siano previste da norma di legge o di regolamento 22 Principi applicabili al trattamento dei dati sensibili (art. 20) il trattamento di dati sensibili da parte della P.A. è consentito solo se autorizzato da espressa disposizione di legge (riserva assoluta di legge) nella quale siano indicati: 1. le finalità di rilevante interesse pubblico perseguite; 2. i tipi di dati che possono essere trattati; 3. le operazioni eseguibili 23 Principi applicabili al trattamento dei dati sensibili (art. 20) se la disposizione di legge specifica le finalità di rilevante interesse pubblico, ma non i tipi di dati e le operazioni eseguibili, il trattamento è consentito solo previa emanazione e nei limiti di un regolamento (riserva di regolamento ex art. 17, 3. co. L. n. 400 /88 con D.M., previa parere del Garante) che individui i dati e le operazioni schema tipo termine di emanazione fino al 28.02.2007 24 Principi applicabili al trattamento dei dati sensibili (art. 20) sono di rilevante interesse pubblico (esempi di disposizioni legislative ad hoc di interesse “scolastico”): 1.finalità di applicazione della disciplina dell’accesso agli atti amministrativi (artt. 59-60) 2.finalità di instaurazione e gestione dei rapporti di lavoro (art.112) 3.finalità di applicazione delle leggi sull’obiezione di coscienza (art.70) 4.finalità di applicazione amministrativa della disciplina dell’assistenza, integrazione sociale e diritti della persona handicappata (art.86) 5.finalità di istruzione e formazione in ambito scolastico e universitario (art.95) 25 Principi applicabili al trattamento dei dati giudiziari (art. 21) il trattamento di dati giudiziari da parte di soggetti pubblici è consentito solo se autorizzato da norme di legge o da provvedimento del Garante che specifichino le finalità di rilevante interesse pubblico, i tipi di dati trattati e le operazioni eseguibili Il DM 305 si aggiunge all’autorizzazione generale Garante 7/2005 (gestione delle gare pubbliche) 26 Principi applicabili al trattamento di dati sensibili e giudiziari (art. 22) 1.obbligo specifico di informazione: la P.A. tratta i dati s. e g. informando gli interessati circa le norme che rendono necessario e legittimano il trattamento 2.correttezza del trattamento: la P.A. tratta solo i dati s. e g. indispensabili alle attività istituzionali, verificando periodicamente correttezza, pertinenza ed essenzialità 3.modalità di conservazione: in caso di uso di strumenti elettronici è obbligatoria la cifratura dei dati s. e g.; la cifratura è obbligatoria comunque per i dati idonei a rivelare lo stato di salute e la vita sessuale, i quali devono essere conservati separatamente 27 Come “leggere” il DM 305 1.Ambito soggettivo MPI (USR-USP) e ISA 2.Ambito oggettivo dati sensibili e giudiziari e operazioni di trattamento 3.Stuttura parte normativa - Allegato composto da 7 schede 4.Pubblicità del DM: adeguate iniziative per assicurare 28 La parte normativa e la regola del q.b. 1.ribadisce la necessità di una previa verifica nelle concrete prassi operative dei dati personali (sensibili e giudiziari) da trattare e delle operazioni da porre in essere al fine di confermare e mantenere gli uni e le altre solo se valutati pertinenti, completi ed indispensabili rispetto alle finalità perseguite, nell’ambito di quelle indicate come di rilevante interesse pubblico. 29 La parte normativa e la regola del q.b. 2.le operazioni di interconnessione e raffronto con banche dati di altri titolari del trattamento e di comunicazione a terzi individuate nel Regolamento sono in concreto ammesse solo se indispensabili allo svolgimento degli obblighi e dei compiti di volta in volta indicati per il perseguimento delle rilevanti finalità di interesse pubblico. 30 La parte normativa e la regola del q.b. 3.le operazioni di interconnessione e raffronto con altre informazioni sensibili e giudiziarie sono consentite solo previa verifica della loro stretta indispensabilità rispetto ai singoli casi e previa indicazione scritta dei motivi che ne giustificano l’effettuazione. 31 Le schede 1. descrizione sintetica del contesto (funzioni coinvolte e flusso informativo) 2. finalità di rilevante interesse pubblico (richiamo delle corrispondenti disposizioni del Codice) 3. fonti normative in cui si sostanziano le finalità di rilevante interesse pubblico 4. specificazione dei tipi di dati personali che possono essere trattati 5. specificazione delle operazioni particolari di trattamento indicandone le finalità 6. Esemplificazione delle operazioni ordinarie di trattamento 32 Es. sui dati dei dipendenti 1. 2. 3. 4. Internet, casella di e-mail e pc aziendali (indispensabilità dei dati e delle operazioni e azione disciplinare) Visite medico-legali e certificazioni sanitarie Graduatorie e divieto di diffusione di dati inerenti la salute Comunicazione e diffusione di dati personali nella gestione del fondo d’istituto 33 Es. sui dati degli alunni 1. La gestione dei contratti di assicurazione volontaria (infortuni ed RC) 2. La “circolazione” dei certificati medici 3. La scuola in ospedale e quella carceraria 4. Alunni “certificati”, disabili ecc. 34 Immagini degli alunni 1. 2. 3. 4. Fotografie e video-riprese di recite e manifestazioni scolastiche (effettuate dai genitori/dalla scuola) Uso delle fotografie da parte dei docenti Pubblicazione di immagini sul giornalino della scuola Pubblicazione di immagini o filmati sul sito web della scuola 35 Accesso ai documenti 1. Le fasi del procedimento di accesso (fase di avvio, fase istruttoria, fase decisionale) 2. Il responsabile del procedimento 36 La fase istruttoria 1. Controinteressati (individuazione, tempo della notifica, modalità della notifica) 2. L’opposizione (forma, termine, rilievo) 3. E il preavviso di rigetto? 37 La fase decisionale 1. 2. 3. 4. 5. 6. Rigetto (totale o parziale) Differimento Limitazioni (gli omissis) Accoglimento (se ci sono controinteressati) Silenzio rigetto La regola del “pari rango” 38 Casistica 1. Accesso agli atti della carriera scolastica ed alle valutazioni degli alunni 2. Genitori separati e divorziati 3. Figli maggiorenni 39 In bocca al lupo !!! 40