Scuola e riservatezza
dei dati personali
Avv. Laura Paolucci
1
d.lgs.30.6.2003, n. 196
Il codice in materia di protezione dei
dati personali abroga e sostituisce la
L.31.12.1996, n. 675 dal giorno della
sua entrata in vigore (1.1.2004, salvo
che per alcune particolari
disposizioni)
(art. 183)
2
I “perché” del Codice
Le informazioni
acquisite (strumenti cartacei)
rielaborate (digitalizzate)
girate (ad altri)
3
Riservatezza dei dati
Effetto dello sviluppo della tecnologia
e della diffusione delle informazioni
nel villaggio globale.
Facilità di raccolta delle informazioni
Economicità della gestione
Convenienza
4
Cosa c’era prima
art. 2 Cost. garantisce i diritti inviolabili
(reputazione, onore e decoro)
art. 13 Cost. tutela la libertà personale:
– Involabile
– Punizione della violenza fisica e morale
5
Dalla riservatezza alla privacy
* il potere del singolo di “nascondere”
le sue “verità”, quei fatti che
necessariamente rappresentano
dell’individuo qualcosa di “vero”
* il potere del singolo individuo di
avere il controllo sulle informazioni
che gli appartengono
6
Riservatezza come atto di volontà
Una data “verità” dovrà essere
considerata riservata quando e solo
quando il soggetto a cui essa
“appartiene” la vorrà ritenere tale.
La riservatezza riguarda l’uso delle
informazioni fatto da terzi.
7
Protezione dei dati personali come
regola dell’organizzazione
Il diritto alla protezione dei propri dati
personali, attribuito a chiunque,
influisce sui criteri di organizzazione
della P.A., criteri che devono essere
attuati nel rispetto della disciplina in
materia di trattamento dei dati
personali
(l’art. 176 modifica l’art. 2 d.lgs. 165/2001)
8
Chiave di lettura del Codice
consigli per non impazzire
leggere tutti gli articoli, focalizzando la
struttura del decreto in titoli e capi ed il
loro contenuto
acquisire
dimestichezza
con
la
terminologia e le definizioni
identificare gli “attori” implicati
identificare con precisione le regole
applicabili ai soggetti pubblici
9
Definizioni
sintesi essenziale
(art. 4)
dato personale
dato identificativo
dato sensibile
dato giudiziario
trattamento
comunicazione
diffusione
*titolare
*responsabile
*incaricato
10
“Attori”
Titolare
la persona fisica, giuridica, la P.A. e
qualsiasi altro ente, associazione od
organismo
cui
competono,
anche
unitamente ad altro titolare, le decisioni in
ordine alla finalità, alle modalità di
trattamento di dati personali e agli strumenti
utilizzati, ivi compreso il profilo della
sicurezza
attore per investitura originaria
11
“Attori”
Titolare segue
quando il trattamento è effettuato da una
persona giuridica, da una P.A. o da un
qualsiasi
altro
ente,
organismo
o
associazione, titolare del trattamento è
l’entità nel suo complesso o l’unità o
l’organismo periferico che esercita un
potere decisionale del tutto autonomo sulle
finalità e sulle modalità del trattamento, ivi
compreso il profilo della sicurezza
12
art 28 Codice
Scuola e titolare
Titolare è l’ istituzione
scolastica (che è ente dotato
di personalità giuridica) che
opera attraverso il suo legale
rappresentante (dirigente
scolastico)
13
“Attori”
Responsabile
la persona fisica, la persona giuridica,
la P.A. e qualsiasi altro ente,
associazione od organismo preposti
dal titolare al trattamento del dati
personali
attore per investitura derivata
14
“Attori”
Responsabile segue
la nomina del responsabile è facoltativa
deve essere affidabile, esperto e capace
può esserci una pluralità di responsabili, anche
mediante suddivisione di compiti
il titolare deve specificare analiticamente e per
iscritto i compiti affidati al responsabile
il titolare deve fornire istruzioni e vigilare sul loro
rispetto
art. 29 Codice
15
Scuola e responsabile
In base alla concreta organizzazione
della scuola, il DS può nominare il
DSGA (per i trattamenti effettuati dalla
segreteria); il referente di plesso (per i
trattamenti effettuati nel plesso); il
referente di classe; i prestatori
“esterni” di servizi che si svolgono
“dentro” la scuola……..
16
“Attori”
Incaricati
le persone fisiche autorizzate a
compiere operazioni di trattamento dal
titolare o dal responsabile
attore per investitura derivata
17
“Attori”
Incaricati segue
l’incaricato deve essere sotto la diretta autorità
del responsabile o del titolare
deve ricevere istruzioni ed attenersi ad esse
la designazione è fatta per iscritto e con
individuazione dell’ambito del trattamento
consentito, salvo che in caso di preposizione ad
unità di cui risulti individuato per iscritto
l’ambito del trattamento consentito agli addetti
all’unità
art. 30 Codice
18
“Attori”
Tutti coloro che per lo
svolgimento della propria
attività lavorativa vengono a
conoscenza di dati personali
devono necessariamente
essere designati come
incaricati
19
“Attori”
Interessato
la persona fisica, giuridica, l’ente o
l’associazione cui si riferiscono i dati
personali (è il “proprietario” dei dati
personali)
attore per investitura originaria
20
Principi generali e comuni (parte I)
principi generali (titolo I)
i diritti dell’interessato (titolo II)
regole per tutti i trattamenti
(titolo III- Capo I e II)
21
Principi generali (titolo I)
principio di necessità (art. 3)
– riduzione al minimo
– esclusione
principio di universalità (art. 6)
principio di liceità, esattezza e
pertinenza (art. 11)
22
I diritti dell’interessato (titolo II)
Diritto di conoscenza (accesso) art. 7 1-2
Diritto di intervento (accesso) art. 7 3
Diritto di opposizione art. 7 4
Nessun formalismo
– Per la richiesta artt. 8 – 9
– Per la comunicazione art. 10
23
Regole per tutti i trattamenti
(titolo III – Capo I)
modalità del trattamento
(lecito, corretto, raccolti e registrati per scopi espliciti e
legittimi, coerenti col trattamento e con quello compatibili,
conservati ai fini identificativi per il tempo necessario allo
scopo per il quale il dato è raccolto e trattato)
requisiti dei dati
(esatti, pertinenti, completi, non eccedenti rispetto alle finalità)
24
Regole per tutti i trattamenti
(titolo III-Capo I)
L’informativa art. 13
finalità e modalità del trattamento
natura del conferimento (obbligatoriafacoltativa)
conseguenze del rifiuto
responsabili o incaricati, e ambito di
comunicazione/diffusione
diritti dell’articolo 7
titolare
25
Regole per tutti i trattamenti
(titolo III-Capo I)
Danni (civili) cagionati per
effetto del trattamento art. 15
attività pericolosa art. 2050 c.c.
violazione art. 11
26
Regole per tutti i trattamenti
(titolo III-Capo I)
Cessazione del trattamento art. 16
distrutti;
ceduti ad altro titolare (compatibilità)
conservati per fini personali
conservati o ceduti per scopi storici,
statistici o scientifici (conformità alla
normativa)
27
Regole per tutti i trattamenti
(titolo III-Capo I)
Trattamento dati quasi-sensibili art. 17
diversi da quelli sensibili e giudiziari
presenta rischi specifici per
–
–
–
diritti
libertà fondamentali
dignità dell'interessato
misure ed accorgimenti a garanzia
dell'interessato
28
Regole ulteriori
per i soggetti pubblici
(Titolo III-Capo II)
principi applicabili a tutti i trattamenti
effettuati da soggetti pubblici
principi applicabili al trattamento dei dati
ordinari
principi applicabili al trattamento dei dati
sensibili
principi applicabili al trattamento dei dati
giudiziari
principi applicabili al trattamento dei dati
sensibili e giudiziari
29
Principi applicabili a tutti i trattamenti
effettuati da soggetti pubblici (art. 18)
la P.A. tratta i dati ordinari se servono
a svolgere le funzioni istituzionali
la P.A. non deve chiedere il consenso
(salvo gli enti sanitari per i dati inerenti la salute)
30
Principi applicabili
al trattamento dei dati ordinari (art. 19)
la P.A. tratta i dati personali solo quando
necessario per svolgere le proprie funzioni
istituzionali
la comunicazione ad altro ente pubblico, in
assenza di espressa previsione di legge o di
regolamento, è consentita per lo svolgimento
delle
funzioni
istituzionali
e
previa
comunicazione al Garante
la comunicazione a privati e la diffusione sono
ammesse solo quando siano previste da norma
di legge o di regolamento
31
Principi applicabili
al trattamento dei dati sensibili
(art. 20)
il trattamento di dati sensibili da parte
della P.A. è consentito solo se
autorizzato da espressa disposizione di
legge (riserva assoluta di legge) nella quale
siano indicati:
1. le finalità di rilevante interesse
pubblico perseguite;
2. i tipi di dati che possono essere
trattati;
3. le operazioni eseguibili
32
Principi applicabili
al trattamento dei dati sensibili
(art. 20)
se la disposizione di legge specifica le
finalità di rilevante interesse pubblico, ma
non i tipi di dati e le operazioni eseguibili,
il trattamento è consentito solo previa
emanazione e nei limiti di un regolamento
(riserva di regolamento ex art. 17, 3. co. L. n. 400 /88 con
D.M., previa parere del Garante: DM PI 305/2006 ) che
individui i dati e le operazioni
schema tipo
termine di emanazione fino al 28.02.2007
33
Principi applicabili al trattamento dei dati
sensibili (art. 20)
sono di rilevante interesse pubblico
(esempi di
disposizioni legislative ad hoc di interesse “scolastico”):
1.finalità di applicazione della disciplina dell’accesso agli atti
amministrativi (artt. 59-60)
2.finalità di instaurazione e gestione dei rapporti di lavoro
(art.112)
3.finalità di applicazione delle leggi sull’obiezione di coscienza
(art.70)
4.finalità di applicazione amministrativa della disciplina
dell’assistenza, integrazione sociale e diritti della persona
handicappata (art.86)
5.finalità di istruzione e formazione in ambito scolastico e
universitario (art.95)
34
Principi applicabili
al trattamento dei dati giudiziari
(art. 21)
il trattamento di dati giudiziari da parte di
soggetti pubblici è consentito solo se autorizzato
da norme di legge o da provvedimento del
Garante che specifichino le finalità di rilevante
interesse pubblico, i tipi di dati trattati e le
operazioni eseguibili (autorizzazione generale
Garante 7/2005)
35
Principi applicabili al trattamento di dati
sensibili e giudiziari (art. 22)
1.obbligo specifico di informazione:
la P.A.
tratta i dati s. e g. informando gli interessati circa le norme
che rendono necessario e legittimano il trattamento
2.correttezza del trattamento:
la P.A. tratta solo i
dati s. e g. indispensabili alle attività istituzionali,
verificando periodicamente correttezza, pertinenza ed
essenzialità
3.modalità di conservazione:
in caso di uso di
strumenti elettronici è obbligatoria la cifratura dei dati s. e
g.; la cifratura è obbligatoria comunque per i dati idonei a
rivelare lo stato di salute e la vita sessuale, i quali devono
essere conservati separatamente
36
Immagini degli alunni
1.
2.
3.
4.
Fotografie e video-riprese di recite e
manifestazioni scolastiche (effettuate
dai genitori/dalla scuola)
Uso delle fotografie da parte dei
docenti
Pubblicazione
di
immagini
sul
giornalino della scuola
Pubblicazione di immagini o filmati sul
sito web della scuola
37
Immagini degli alunni
Art. 136 Finalita’ giornalistiche e altre manifestazioni del
pensiero
1.Le disposizioni del presente titolo si applicano al
trattamento:
a)effettuato nell'esercizio della professione di giornalista
e per l'esclusivo perseguimento delle relative finalità;
b) effettuato dai soggetti iscritti nell'elenco dei
pubblicisti o nel registro dei praticanti di cui agli articoli
26 e 33 della legge 3 febbraio 1963, n. 69;
c) temporaneo finalizzato esclusivamente alla
pubblicazione o diffusione occasionale di articoli,
saggi e altre manifestazioni del pensiero anche
nell'espressione artistica.
38
Immagini degli alunni
Art. 137 Disposizioni applicabili 1. Ai trattamenti indicati
nell'articolo 136 non si applicano le disposizioni del presente
codice relative:a) all'autorizzazione del Garante prevista
dall'articolo 26;b) alle garanzie previste dall'articolo 27 per i
dati giudiziari;c) al trasferimento dei dati all'estero, contenute
nel Titolo VII della Parte I.2. Il trattamento dei dati di cui al
comma 1 è effettuato anche senza il consenso dell'interessato
previsto dagli articoli 23 e 26.3. In caso di diffusione o di
comunicazione dei dati per le finalità di cui all'articolo
136 restano fermi i limiti del diritto di cronaca a tutela
dei diritti di cui all'articolo 2 e, in particolare, quello
dell'essenzialità dell'informazione riguardo a fatti di
interesse pubblico. Possono essere trattati i dati personali
relativi a circostanze o fatti resi noti direttamente dagli
interessati o attraverso loro comportamenti in pubblico.
39
Flusso informativo dei dati sensibili (salute)
dell’alunno “certificato”
1. Raccolta: dall’interessato (“verbale di
accertamento” DPCM 185/2006 )
2. Operazioni “interne” di trattamento:
(PDF e PEI) “gruppi di lavoro”, dirigente
scolastico, docenti della classe,
personale ATA
40
Flusso informativo dei dati sensibili (salute)
dell’alunno “certificato”
3 .Custodia: separata sia su supporto
cartaceo che informatico
4. Comunicazione: ente locale; ASL
5. Diffusione: (es. pubblicazione esiti
scolastici OM 35/2003)
6. Interconnessione con altre
informazioni:(anagrafe sull’handicap? V.
L. 170/03 anagrafe studenti e laureati universitari )
41
Misure di sicurezza
(art. 31 )
I dati personali devono essere custoditi e
controllati con misure di sicurezza
adeguate a ridurre al minimo i rischi di
distruzione o di perdita, di accesso non
autorizzato, di trattamento illecito
42
Misure minime di sicurezza
(artt. 33 e ss. )
I titolari
del trattamento
devono
adottare
misure
minime
di
sicurezza
individuate nel Codice
43
Misure minime di sicurezza
(artt. 33 ss.)
Il trattamento operato con strumenti
elettronici deve avvenire solo tramite
sistemi e procedure di autorizzazione
all’accesso e di autenticazione, protezione
di hardware e software e dei dati, di back
up ed emanazione del DPS
44
Misure minime di sicurezza
(artt. 33 ss.)
Il trattamento non automatizzato richiede
la verifica periodica dei livelli di
autorizzazione agli incaricati o alle unità
organizzative, procedure di custodia e
conservazione, procedura di custodia per
gli atti ad accesso selezionato
45
In bocca
al lupo !!!
46