Scuola e riservatezza dei dati personali Avv. Laura Paolucci 1 d.lgs.30.6.2003, n. 196 Il codice in materia di protezione dei dati personali abroga e sostituisce la L.31.12.1996, n. 675 dal giorno della sua entrata in vigore (1.1.2004, salvo che per alcune particolari disposizioni) (art. 183) 2 I “perché” del Codice Le informazioni acquisite (strumenti cartacei) rielaborate (digitalizzate) girate (ad altri) 3 Riservatezza dei dati Effetto dello sviluppo della tecnologia e della diffusione delle informazioni nel villaggio globale. Facilità di raccolta delle informazioni Economicità della gestione Convenienza 4 Cosa c’era prima art. 2 Cost. garantisce i diritti inviolabili (reputazione, onore e decoro) art. 13 Cost. tutela la libertà personale: – Involabile – Punizione della violenza fisica e morale 5 Dalla riservatezza alla privacy * il potere del singolo di “nascondere” le sue “verità”, quei fatti che necessariamente rappresentano dell’individuo qualcosa di “vero” * il potere del singolo individuo di avere il controllo sulle informazioni che gli appartengono 6 Riservatezza come atto di volontà Una data “verità” dovrà essere considerata riservata quando e solo quando il soggetto a cui essa “appartiene” la vorrà ritenere tale. La riservatezza riguarda l’uso delle informazioni fatto da terzi. 7 Protezione dei dati personali come regola dell’organizzazione Il diritto alla protezione dei propri dati personali, attribuito a chiunque, influisce sui criteri di organizzazione della P.A., criteri che devono essere attuati nel rispetto della disciplina in materia di trattamento dei dati personali (l’art. 176 modifica l’art. 2 d.lgs. 165/2001) 8 Chiave di lettura del Codice consigli per non impazzire leggere tutti gli articoli, focalizzando la struttura del decreto in titoli e capi ed il loro contenuto acquisire dimestichezza con la terminologia e le definizioni identificare gli “attori” implicati identificare con precisione le regole applicabili ai soggetti pubblici 9 Definizioni sintesi essenziale (art. 4) dato personale dato identificativo dato sensibile dato giudiziario trattamento comunicazione diffusione *titolare *responsabile *incaricato 10 “Attori” Titolare la persona fisica, giuridica, la P.A. e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alla finalità, alle modalità di trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza attore per investitura originaria 11 “Attori” Titolare segue quando il trattamento è effettuato da una persona giuridica, da una P.A. o da un qualsiasi altro ente, organismo o associazione, titolare del trattamento è l’entità nel suo complesso o l’unità o l’organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza 12 art 28 Codice Scuola e titolare Titolare è l’ istituzione scolastica (che è ente dotato di personalità giuridica) che opera attraverso il suo legale rappresentante (dirigente scolastico) 13 “Attori” Responsabile la persona fisica, la persona giuridica, la P.A. e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento del dati personali attore per investitura derivata 14 “Attori” Responsabile segue la nomina del responsabile è facoltativa deve essere affidabile, esperto e capace può esserci una pluralità di responsabili, anche mediante suddivisione di compiti il titolare deve specificare analiticamente e per iscritto i compiti affidati al responsabile il titolare deve fornire istruzioni e vigilare sul loro rispetto art. 29 Codice 15 Scuola e responsabile In base alla concreta organizzazione della scuola, il DS può nominare il DSGA (per i trattamenti effettuati dalla segreteria); il referente di plesso (per i trattamenti effettuati nel plesso); il referente di classe; i prestatori “esterni” di servizi che si svolgono “dentro” la scuola…….. 16 “Attori” Incaricati le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile attore per investitura derivata 17 “Attori” Incaricati segue l’incaricato deve essere sotto la diretta autorità del responsabile o del titolare deve ricevere istruzioni ed attenersi ad esse la designazione è fatta per iscritto e con individuazione dell’ambito del trattamento consentito, salvo che in caso di preposizione ad unità di cui risulti individuato per iscritto l’ambito del trattamento consentito agli addetti all’unità art. 30 Codice 18 “Attori” Tutti coloro che per lo svolgimento della propria attività lavorativa vengono a conoscenza di dati personali devono necessariamente essere designati come incaricati 19 “Attori” Interessato la persona fisica, giuridica, l’ente o l’associazione cui si riferiscono i dati personali (è il “proprietario” dei dati personali) attore per investitura originaria 20 Principi generali e comuni (parte I) principi generali (titolo I) i diritti dell’interessato (titolo II) regole per tutti i trattamenti (titolo III- Capo I e II) 21 Principi generali (titolo I) principio di necessità (art. 3) – riduzione al minimo – esclusione principio di universalità (art. 6) principio di liceità, esattezza e pertinenza (art. 11) 22 I diritti dell’interessato (titolo II) Diritto di conoscenza (accesso) art. 7 1-2 Diritto di intervento (accesso) art. 7 3 Diritto di opposizione art. 7 4 Nessun formalismo – Per la richiesta artt. 8 – 9 – Per la comunicazione art. 10 23 Regole per tutti i trattamenti (titolo III – Capo I) modalità del trattamento (lecito, corretto, raccolti e registrati per scopi espliciti e legittimi, coerenti col trattamento e con quello compatibili, conservati ai fini identificativi per il tempo necessario allo scopo per il quale il dato è raccolto e trattato) requisiti dei dati (esatti, pertinenti, completi, non eccedenti rispetto alle finalità) 24 Regole per tutti i trattamenti (titolo III-Capo I) L’informativa art. 13 finalità e modalità del trattamento natura del conferimento (obbligatoriafacoltativa) conseguenze del rifiuto responsabili o incaricati, e ambito di comunicazione/diffusione diritti dell’articolo 7 titolare 25 Regole per tutti i trattamenti (titolo III-Capo I) Danni (civili) cagionati per effetto del trattamento art. 15 attività pericolosa art. 2050 c.c. violazione art. 11 26 Regole per tutti i trattamenti (titolo III-Capo I) Cessazione del trattamento art. 16 distrutti; ceduti ad altro titolare (compatibilità) conservati per fini personali conservati o ceduti per scopi storici, statistici o scientifici (conformità alla normativa) 27 Regole per tutti i trattamenti (titolo III-Capo I) Trattamento dati quasi-sensibili art. 17 diversi da quelli sensibili e giudiziari presenta rischi specifici per – – – diritti libertà fondamentali dignità dell'interessato misure ed accorgimenti a garanzia dell'interessato 28 Regole ulteriori per i soggetti pubblici (Titolo III-Capo II) principi applicabili a tutti i trattamenti effettuati da soggetti pubblici principi applicabili al trattamento dei dati ordinari principi applicabili al trattamento dei dati sensibili principi applicabili al trattamento dei dati giudiziari principi applicabili al trattamento dei dati sensibili e giudiziari 29 Principi applicabili a tutti i trattamenti effettuati da soggetti pubblici (art. 18) la P.A. tratta i dati ordinari se servono a svolgere le funzioni istituzionali la P.A. non deve chiedere il consenso (salvo gli enti sanitari per i dati inerenti la salute) 30 Principi applicabili al trattamento dei dati ordinari (art. 19) la P.A. tratta i dati personali solo quando necessario per svolgere le proprie funzioni istituzionali la comunicazione ad altro ente pubblico, in assenza di espressa previsione di legge o di regolamento, è consentita per lo svolgimento delle funzioni istituzionali e previa comunicazione al Garante la comunicazione a privati e la diffusione sono ammesse solo quando siano previste da norma di legge o di regolamento 31 Principi applicabili al trattamento dei dati sensibili (art. 20) il trattamento di dati sensibili da parte della P.A. è consentito solo se autorizzato da espressa disposizione di legge (riserva assoluta di legge) nella quale siano indicati: 1. le finalità di rilevante interesse pubblico perseguite; 2. i tipi di dati che possono essere trattati; 3. le operazioni eseguibili 32 Principi applicabili al trattamento dei dati sensibili (art. 20) se la disposizione di legge specifica le finalità di rilevante interesse pubblico, ma non i tipi di dati e le operazioni eseguibili, il trattamento è consentito solo previa emanazione e nei limiti di un regolamento (riserva di regolamento ex art. 17, 3. co. L. n. 400 /88 con D.M., previa parere del Garante: DM PI 305/2006 ) che individui i dati e le operazioni schema tipo termine di emanazione fino al 28.02.2007 33 Principi applicabili al trattamento dei dati sensibili (art. 20) sono di rilevante interesse pubblico (esempi di disposizioni legislative ad hoc di interesse “scolastico”): 1.finalità di applicazione della disciplina dell’accesso agli atti amministrativi (artt. 59-60) 2.finalità di instaurazione e gestione dei rapporti di lavoro (art.112) 3.finalità di applicazione delle leggi sull’obiezione di coscienza (art.70) 4.finalità di applicazione amministrativa della disciplina dell’assistenza, integrazione sociale e diritti della persona handicappata (art.86) 5.finalità di istruzione e formazione in ambito scolastico e universitario (art.95) 34 Principi applicabili al trattamento dei dati giudiziari (art. 21) il trattamento di dati giudiziari da parte di soggetti pubblici è consentito solo se autorizzato da norme di legge o da provvedimento del Garante che specifichino le finalità di rilevante interesse pubblico, i tipi di dati trattati e le operazioni eseguibili (autorizzazione generale Garante 7/2005) 35 Principi applicabili al trattamento di dati sensibili e giudiziari (art. 22) 1.obbligo specifico di informazione: la P.A. tratta i dati s. e g. informando gli interessati circa le norme che rendono necessario e legittimano il trattamento 2.correttezza del trattamento: la P.A. tratta solo i dati s. e g. indispensabili alle attività istituzionali, verificando periodicamente correttezza, pertinenza ed essenzialità 3.modalità di conservazione: in caso di uso di strumenti elettronici è obbligatoria la cifratura dei dati s. e g.; la cifratura è obbligatoria comunque per i dati idonei a rivelare lo stato di salute e la vita sessuale, i quali devono essere conservati separatamente 36 Immagini degli alunni 1. 2. 3. 4. Fotografie e video-riprese di recite e manifestazioni scolastiche (effettuate dai genitori/dalla scuola) Uso delle fotografie da parte dei docenti Pubblicazione di immagini sul giornalino della scuola Pubblicazione di immagini o filmati sul sito web della scuola 37 Immagini degli alunni Art. 136 Finalita’ giornalistiche e altre manifestazioni del pensiero 1.Le disposizioni del presente titolo si applicano al trattamento: a)effettuato nell'esercizio della professione di giornalista e per l'esclusivo perseguimento delle relative finalità; b) effettuato dai soggetti iscritti nell'elenco dei pubblicisti o nel registro dei praticanti di cui agli articoli 26 e 33 della legge 3 febbraio 1963, n. 69; c) temporaneo finalizzato esclusivamente alla pubblicazione o diffusione occasionale di articoli, saggi e altre manifestazioni del pensiero anche nell'espressione artistica. 38 Immagini degli alunni Art. 137 Disposizioni applicabili 1. Ai trattamenti indicati nell'articolo 136 non si applicano le disposizioni del presente codice relative:a) all'autorizzazione del Garante prevista dall'articolo 26;b) alle garanzie previste dall'articolo 27 per i dati giudiziari;c) al trasferimento dei dati all'estero, contenute nel Titolo VII della Parte I.2. Il trattamento dei dati di cui al comma 1 è effettuato anche senza il consenso dell'interessato previsto dagli articoli 23 e 26.3. In caso di diffusione o di comunicazione dei dati per le finalità di cui all'articolo 136 restano fermi i limiti del diritto di cronaca a tutela dei diritti di cui all'articolo 2 e, in particolare, quello dell'essenzialità dell'informazione riguardo a fatti di interesse pubblico. Possono essere trattati i dati personali relativi a circostanze o fatti resi noti direttamente dagli interessati o attraverso loro comportamenti in pubblico. 39 Flusso informativo dei dati sensibili (salute) dell’alunno “certificato” 1. Raccolta: dall’interessato (“verbale di accertamento” DPCM 185/2006 ) 2. Operazioni “interne” di trattamento: (PDF e PEI) “gruppi di lavoro”, dirigente scolastico, docenti della classe, personale ATA 40 Flusso informativo dei dati sensibili (salute) dell’alunno “certificato” 3 .Custodia: separata sia su supporto cartaceo che informatico 4. Comunicazione: ente locale; ASL 5. Diffusione: (es. pubblicazione esiti scolastici OM 35/2003) 6. Interconnessione con altre informazioni:(anagrafe sull’handicap? V. L. 170/03 anagrafe studenti e laureati universitari ) 41 Misure di sicurezza (art. 31 ) I dati personali devono essere custoditi e controllati con misure di sicurezza adeguate a ridurre al minimo i rischi di distruzione o di perdita, di accesso non autorizzato, di trattamento illecito 42 Misure minime di sicurezza (artt. 33 e ss. ) I titolari del trattamento devono adottare misure minime di sicurezza individuate nel Codice 43 Misure minime di sicurezza (artt. 33 ss.) Il trattamento operato con strumenti elettronici deve avvenire solo tramite sistemi e procedure di autorizzazione all’accesso e di autenticazione, protezione di hardware e software e dei dati, di back up ed emanazione del DPS 44 Misure minime di sicurezza (artt. 33 ss.) Il trattamento non automatizzato richiede la verifica periodica dei livelli di autorizzazione agli incaricati o alle unità organizzative, procedure di custodia e conservazione, procedura di custodia per gli atti ad accesso selezionato 45 In bocca al lupo !!! 46