Le scuole
tra
trasparenza e riservatezza
Avv. Laura Paolucci
1
I due regolamenti del 2006
Il DPR 184/2006 specifica le modalità di
esercizio del diritto di accesso ai
documenti amministrativi
Il DM 305/2006 identifica i dati sensibili
e giudiziari e le operazioni di
trattamento del MPI (USR-USP) e delle
istituzioni scolastiche
2
Le due leggi
Trasparenza
dell’azione amministrativa
(L 241/90)
Riservatezza
quale protezione dei dati personali
(DLgs 196/03)
concetti non antitetici
3
Le due leggi…..
….impongono entrambe regole di condotta
….positive obbligo di partecipazione al
procedimento; obbligo di motivazione, dovere di
minimizzazione del rischio, indispensabilità nel
trattamento dei dati sensibili…
….negative divieto di aggravamento del
procedimento; divieto di diffusione dei dati
sanitari…..
4
…partiamo dal d.lgs. N. 196/2003
Il DLgs 196/2003, molto più della L.
241/90, incide sulla quotidianità della
vita delle organizzazioni e quindi delle
scuole, che trattano fra le
organizzazioni una enorme massa di
dati personali, per numero di “utenti” e
di dipendenti
5
d.lgs.30.6.2003, n. 196
Il codice in materia di protezione dei
dati personali abroga e sostituisce la
L.31.12.1996, n. 675 dal giorno della
sua entrata in vigore (1.1.2004, salvo
che per alcune particolari
disposizioni)
(art. 183)
6
Le informazioni
acquisite
rielaborate (strumenti cartacei o
elettronici)
girate (ad altri)
7
Riservatezza dei dati
Effetto dello sviluppo della tecnologia
e della diffusione delle informazioni
nel villaggio globale
Facilità di raccolta delle informazioni
Economicità della gestione
Convenienza ed utilità economiche
8
Dalla riservatezza alla privacy
* il potere del singolo di “nascondere”
le sue “verità”, quei fatti che
necessariamente rappresentano
dell’individuo qualcosa di “vero”
* il potere del singolo individuo di
avere il controllo sulle informazioni
che gli appartengono
9
Atto di volontà
Una data “verità” dovrà essere
considerata riservata quando e solo
quando il soggetto a cui essa
“appartiene” la vorrà ritenere tale.
La riservatezza riguarda l’uso delle
informazioni fatto da terzi.
10
Protezione dei dati personali come
regola dell’organizzazione
Il diritto alla protezione dei propri dati
personali, attribuito a chiunque,
influisce sui criteri di organizzazione
della P.A., criteri che devono essere
attuati nel rispetto della disciplina in
materia di trattamento dei dati
personali
(l’art. 176 modifica l’art. 2 d.lgs. 165/2001)
11
Chiave di lettura del Codice
consigli per non impazzire
leggere tutti gli articoli, focalizzando la
struttura del decreto in titoli e capi ed il
loro contenuto
acquisire
dimestichezza
con
la
terminologia e le definizioni
identificare gli “attori” implicati
identificare con precisione le regole
applicabili ai soggetti pubblici
12
Ci accorgeremo che…
…..se oggetto di protezione è la
circolazione delle informazioni al fine di
consentire al “proprietario” il diritto di
controllo sul relativo flusso, le regole di
tale circolazione si “aggravano” a
seconda che il flusso sia (solo) interno o
(anche) esterno ed a seconda della
“vicinanza” delle informazioni alla sfera
più intima del “proprietario” delle stesse
13
Il DM 305 si inserisce…
a)
b)
….quale fonte normativa atta a completare
la disciplina relativa al trattamento dei dati
sensibili e giudiziari da parte delle scuole
individuando:
quali dati sensibili e/o giudiziari possano
essere trattati
quali operazioni possano essere effettuate
in relazione alle varie finalità ri rilevante
interesse pubblico
14
Il DM 305 presuppone adempiute le regole
organizzative per il flusso interno
dato personale
dato identificativo
dato sensibile
dato giudiziario
trattamento
comunicazione
diffusione
*titolare
*responsabile
*incaricato
15
Scuola e titolare
Titolare è l’ istituzione
scolastica (che è ente dotato
di personalità giuridica) che
opera attraverso il suo legale
rappresentante (dirigente
scolastico)
16
Scuola e responsabile
In base alla concreta organizzazione
della scuola, il DS può nominare il
DSGA (per i trattamenti effettuati dalla
segreteria); il referente di plesso (per i
trattamenti effettuati nel plesso); il
referente di classe; i prestatori
“esterni” di servizi che si svolgono
“dentro” la scuola……..
17
incaricati
Tutti coloro che per lo
svolgimento della propria
attività lavorativa vengono a
conoscenza di dati personali
devono necessariamente
essere designati come
incaricati
18
interessato
la persona fisica, giuridica, l’ente o
l’associazione cui si riferiscono i dati
personali (è il “proprietario” dei dati
personali)
19
Regole ulteriori
per i soggetti pubblici
(Titolo III-Capo II)
principi applicabili a tutti i trattamenti
effettuati da soggetti pubblici
principi applicabili al trattamento dei dati
ordinari
principi applicabili al trattamento dei dati
sensibili
principi applicabili al trattamento dei dati
giudiziari
principi applicabili al trattamento dei dati
sensibili e giudiziari
20
Principi applicabili a tutti i trattamenti
effettuati da soggetti pubblici (art. 18)
la P.A. tratta i dati ordinari se servono
a svolgere le funzioni istituzionali
la P.A. non deve chiedere il consenso
(salvo gli enti sanitari per i dati inerenti la salute)
21
Principi applicabili
al trattamento dei dati ordinari (art. 19)
la P.A. tratta i dati personali solo quando
necessario per svolgere le proprie funzioni
istituzionali
la comunicazione ad altro ente pubblico, in
assenza di espressa previsione di legge o di
regolamento, è consentita per lo svolgimento
delle
funzioni
istituzionali
e
previa
comunicazione al Garante
la comunicazione a privati e la diffusione sono
ammesse solo quando siano previste da norma
di legge o di regolamento
22
Principi applicabili
al trattamento dei dati sensibili
(art. 20)
il trattamento di dati sensibili da parte
della P.A. è consentito solo se
autorizzato da espressa disposizione di
legge (riserva assoluta di legge) nella quale
siano indicati:
1. le finalità di rilevante interesse pubblico
perseguite;
2. i tipi di dati che possono essere
trattati;
3. le operazioni eseguibili
23
Principi applicabili
al trattamento dei dati sensibili
(art. 20)
se la disposizione di legge specifica le
finalità di rilevante interesse pubblico, ma
non i tipi di dati e le operazioni eseguibili,
il trattamento è consentito solo previa
emanazione e nei limiti di un regolamento
(riserva di regolamento ex art. 17, 3. co. L. n. 400 /88 con
D.M., previa parere del Garante) che individui i dati
e le operazioni
schema tipo
termine di emanazione fino al 28.02.2007
24
Principi applicabili al trattamento dei dati
sensibili (art. 20)
sono di rilevante interesse pubblico
(esempi di
disposizioni legislative ad hoc di interesse “scolastico”):
1.finalità di applicazione della disciplina dell’accesso agli atti
amministrativi (artt. 59-60)
2.finalità di instaurazione e gestione dei rapporti di lavoro
(art.112)
3.finalità di applicazione delle leggi sull’obiezione di coscienza
(art.70)
4.finalità di applicazione amministrativa della disciplina
dell’assistenza, integrazione sociale e diritti della persona
handicappata (art.86)
5.finalità di istruzione e formazione in ambito scolastico e
universitario (art.95)
25
Principi applicabili
al trattamento dei dati giudiziari
(art. 21)
il trattamento di dati giudiziari da parte di
soggetti pubblici è consentito solo se autorizzato
da norme di legge o da provvedimento del
Garante che specifichino le finalità di rilevante
interesse pubblico, i tipi di dati trattati e le
operazioni eseguibili
Il DM 305 si aggiunge all’autorizzazione generale
Garante 7/2005 (gestione delle gare pubbliche)
26
Principi applicabili al trattamento di dati
sensibili e giudiziari (art. 22)
1.obbligo specifico di informazione:
la P.A.
tratta i dati s. e g. informando gli interessati circa le norme
che rendono necessario e legittimano il trattamento
2.correttezza del trattamento:
la P.A. tratta solo i
dati s. e g. indispensabili alle attività istituzionali,
verificando periodicamente correttezza, pertinenza ed
essenzialità
3.modalità di conservazione:
in caso di uso di
strumenti elettronici è obbligatoria la cifratura dei dati s. e
g.; la cifratura è obbligatoria comunque per i dati idonei a
rivelare lo stato di salute e la vita sessuale, i quali devono
essere conservati separatamente
27
Come “leggere” il DM 305
1.Ambito soggettivo MPI (USR-USP) e ISA
2.Ambito oggettivo
dati sensibili e giudiziari e
operazioni di trattamento
3.Stuttura
parte normativa - Allegato composto da 7
schede
4.Pubblicità del DM:
adeguate
iniziative
per
assicurare
28
La parte normativa
e la regola del q.b.
1.ribadisce la necessità di una previa
verifica nelle concrete prassi operative
dei dati personali (sensibili e giudiziari)
da trattare e delle operazioni da porre in
essere al fine di confermare e mantenere
gli uni e le altre solo se valutati
pertinenti, completi ed indispensabili
rispetto
alle
finalità
perseguite,
nell’ambito di quelle indicate come di
rilevante interesse pubblico.
29
La parte normativa
e la regola del q.b.
2.le operazioni di interconnessione e
raffronto con banche dati di altri
titolari
del
trattamento
e
di
comunicazione a terzi individuate nel
Regolamento sono in concreto ammesse
solo se indispensabili allo svolgimento
degli obblighi e dei compiti di volta in
volta indicati per il perseguimento delle
rilevanti finalità di interesse pubblico.
30
La parte normativa
e la regola del q.b.
3.le operazioni di interconnessione e
raffronto con altre informazioni
sensibili e giudiziarie sono consentite
solo previa verifica della loro stretta
indispensabilità rispetto ai singoli casi
e previa indicazione scritta dei motivi
che ne giustificano l’effettuazione.
31
Le schede
1. descrizione sintetica del contesto (funzioni
coinvolte e flusso informativo)
2. finalità di rilevante interesse pubblico (richiamo
delle corrispondenti disposizioni del Codice)
3. fonti normative in cui si sostanziano le finalità di
rilevante interesse pubblico
4. specificazione dei tipi di dati personali che
possono essere trattati
5. specificazione delle operazioni particolari di
trattamento indicandone le finalità
6. Esemplificazione delle operazioni ordinarie di
trattamento
32
Es. sui dati dei dipendenti
1.
2.
3.
4.
Internet, casella di e-mail e pc aziendali
(indispensabilità dei dati e delle
operazioni e azione disciplinare)
Visite medico-legali e certificazioni
sanitarie
Graduatorie e divieto di diffusione di
dati inerenti la salute
Comunicazione e diffusione di dati
personali nella gestione del fondo
d’istituto
33
Es. sui dati degli alunni
1. La gestione dei contratti di
assicurazione volontaria (infortuni
ed RC)
2. La “circolazione” dei certificati
medici
3. La scuola in ospedale e quella
carceraria
4. Alunni “certificati”, disabili ecc.
34
Immagini degli alunni
1.
2.
3.
4.
Fotografie e video-riprese di recite e
manifestazioni scolastiche (effettuate
dai genitori/dalla scuola)
Uso delle fotografie da parte dei
docenti
Pubblicazione
di
immagini
sul
giornalino della scuola
Pubblicazione di immagini o filmati sul
sito web della scuola
35
Accesso ai documenti
1.
Le fasi del procedimento di accesso
(fase di avvio, fase istruttoria, fase
decisionale)
2.
Il responsabile del procedimento
36
La fase istruttoria
1.
Controinteressati (individuazione,
tempo della notifica, modalità della
notifica)
2.
L’opposizione (forma, termine, rilievo)
3.
E il preavviso di rigetto?
37
La fase decisionale
1.
2.
3.
4.
5.
6.
Rigetto (totale o parziale)
Differimento
Limitazioni (gli omissis)
Accoglimento (se ci sono
controinteressati)
Silenzio rigetto
La regola del “pari rango”
38
Casistica
1.
Accesso agli atti della carriera
scolastica ed alle valutazioni degli
alunni
2.
Genitori separati e divorziati
3.
Figli maggiorenni
39
In bocca
al lupo !!!
40