Il <Codice in materia di Protezione dei Dati Personali>,
detto anche <Codice Privacy>, è il testo unico di legge che detta le regole sull’argomento.
Un dato personale è…
qualunque informazione
relativa a persona singola od organizzazione collettiva,
identificata.
O identificabile,
anche indirettamente, mediante riferimento a qualsiasi altra informazione.
Riguardante:
Persona fisica
A titolo di esempio: indirizzo di posta
elettronica, numero telefonico, ecc..
Ma anche valutazioni, profili personali,
abitudini, profili professionali, origini
razziali, fede religiosa e opinioni sull’argomento, opinioni politiche,
iscrizione a un sindacato, stato di salute, hobbies, gusti
gastronomici, preferenze in qualsiasi campo, inclinazioni sessuali, ecc.. E ancora: i numeri di telefono
chiamati in un certo momento, il fatto stesso di aver eseguito una telefonata in quel momento, lo scontrino
del supermercato, ma anche il fatto stesso di aver fatto la spesa al supermercato, il contenuto della mia
pattumiera in quanto si può ricavare che cosa ho mangiato o utilizzato, e così via…
FORMAZIONE DOCENTI - Pag. 1 -
Copyright www.paginescuola.it
Oppure riguardante:
Persona giuridica o collettiva (ente od
associazione od organizzazione). Vedi
pagina seguente:
I dati personali sono riferibili anche ad enti ( sia pubblici che privati ) , associazioni, Ditte e società:
denominazione sociale, sede, indirizzo, numero di telefono, indirizzo email, codice fiscale, qualsiasi
informazione sulla loro attività e struttura, ecc.
Interessato = Persona fisica oppure persona giuridica
FORMAZIONE DOCENTI - Pag. 2 -
Copyright www.paginescuola.it
Il Dato Anonimo non è Dato personale !
DATO ANONIMO è il contrario di DATO PERSONALE. Il dato
anonimo è un’informazione NON ASSOCIABILE A UNA
PERSONA IDENTIFICATA O IDENTIFICABILE. Non essendo
dato personale, è quindi è sottratta alle regole del <Codice per
la protezione dei dati personali>.
Cosa fa sì che un’ <informazione> sia un Dato Personale ?
Ciò che fa sì che un’informazione sia un “dato
personale” è la possibilità di identificare la
persona a cui si riferisce. Se l’informazione è
associata a un nome diventa automaticamente un
dato personale.
Pi
Pinco
Pallino
Ma diventa “dato personale” anche l’informazione
non associata a un nome, se si può collegarla a una
determinata persona mediante un ragionamento o una
tecnica che non richiedano uno sforzo eccezionale.
Va sottolineato: non è necessario che una persona sia
effettivamente identificata, basta che possa esserlo
almeno in teoria.
I dati statistici, se davvero non rendono identificabili i
soggetti cui si riferiscono, sono tipici dati anonimi.
Invece un semplice dato identificativo non è un Dato Personale.
E’ quell’informazione, come il nome e cognome,
che permette l’identificazione diretta
dell’Interessato e non fornisce alcuna ulteriore
informazione sulla persona, ma serve solo a
identificarla.
Per esempio l’impronta digitale non è solo un
dato identificativo, perché fornisce una
caratteristica biometrica . Il Codice Fiscale
fornisce informazioni ulteriori (luogo e data di
nascita). Esiste, comunque, una zona grigia,
ambigua per alcuni dati, che al contempo sono
identificativi e forniscono ulteriore informazione
rispetto al nome e cognome.
Questo è importante perché un mero elenco,
senza ulteriori elementi, non contiene dati personali e quindi può essere trattato senza le estirioni previste
per i dati personali veri e propri.
FORMAZIONE DOCENTI - Pag. 3 -
Copyright www.paginescuola.it
Innumerevoli sono i tipi di dato personale
Il dato personale è una qualsiasi informazione inserita in un documento
cartaceo, elettronico o in un archivio/file informatico, ma può consistere anche
in una foto, una registrazione audio o cine/video, una lastra radiografica,
un’impronta digitale, lo schema del suo DNA, il testo di una valutazione sulla
persona, ecc. Va sottolineato che è “dato personale” qualunque informazione
(e non solo quelle di carattere riservato o particolare).
E’ impossibile fare un elenco completo dei dati personali, perché sono
innumerevoli.
L’interessato è il protagonista delle regole privacy
Nel linguaggio privacy: la persona
(fisica o collettiva) a cui un dato
personale si riferisce si chiama
<<interessato>>. Le norme del
Codice Privacy esistono per
proteggere i suoi diritti.
FORMAZIONE DOCENTI - Pag. 4 -
Copyright www.paginescuola.it
Chi risponde dei dati personali dell’Interessato?
Il TITOLARE
Agli effetti del Codice Privacy si definisce ‘Titolare’ del trattamento di dati
personali
la persona fisica, la persona giuridica, la pubblica
amministrazione e qualsiasi altro ente, associazione od organismo che
utilizza i dati personali di terzi; ad esso competono le decisioni in ordine
alle finalità, alle modalità del trattamento di dati personali e agli strumenti
utilizzati, ivi compreso il profilo della sicurezza. Tutte le responsabilità sono
a carico del cosiddetto ‘Titolare’ del trattamento dei dati personali.
Nel caso di ditte individuali il Titolare è il proprietario.
Nel caso di società, enti, associazioni ed
organizzazioni il Titolare è la società stessa o
l’Ente stesso.
NON SI DEVE CONFONDERE MAI IL TITOLARE CON IL
LEGALE RAPPRESENTANTE ! Nelle ditte individuali il
Rappresentante coincide con il Titolare; quando, invece, il
Titolare è una società o Ente etc. il rappresentante è il
Dirigente che ha il massimo potere decisionale o che è stato
a ciò delegato (comunque va visto concretamente chi ha il
potere effettivo di prendere le decisioni in ordine alle finalità,
alle modalità del trattamento di dati personali e agli strumenti
utilizzati, ivi compreso il profilo della sicurezza).
In quanto Dirigente Scolastico
NON sono il Titolare del
trattamento, ma il suo Legale
Rappresentante !
FORMAZIONE DOCENTI - Pag. 5 -
Copyright www.paginescuola.it
Chi tratta dati personali deve
obbligatoriamente avere una nomina
autorizzativa da parte del Titolare (o di un
suo delegato, il ‘Responsabile’).
Il Codice Privacy introduce la novità che chiunque tratta i dati personali deve
previamente ricevere una nomina che lo autorizza a farlo, indicando
chiaramente “quali trattamenti” può effettuare, a “quali” banche dati può
accedere, con “quali regole” deve trattare i dati.
Tale nomina può essere a ‘Responsabile’ del trattamento o a
‘Incaricato’ del trattamento. Il principio basilare è che se un dato
personale è trattato da una persona priva della nomina, il trattamento
diventa illegittimo e scattano conseguenze gravi.
L’ <Incaricato del trattamento>
Agli effetti del Codice si definiscono "Incaricati", le persone fisiche
autorizzate a compiere operazioni di trattamento di dati personali
mediante apposita nomina effettuata dal Responsabile (se esiste) o dal
Titolare.
La nomina deve precisare per ciascun Incaricato o gruppo di Incaricati
quali operazioni di trattamento di “trattamento di dati personali” sono
autorizzati a compiere.
Possono essere nominati “Incaricati” solo le persone fisiche (anche esterne alla struttura). Se è una
persona esterna, agli effetti della Privacy è come facesse parte integrante
della struttura Titolare.
Qualsiasi operazione di trattamento di dati personali (anche la più elementare
!) può essere effettuata solo dal Titolare, dal Responsabile o da Incaricati che
operano sotto la diretta autorità del Titolare o del Responsabile, attenendosi
alle istruzioni impartite.
In pratica, la nomina a Incaricato equivale a un’autorizzazione a fare
determinate cose. Nessuno può compiere operazioni di trattamento di dati
personali senza tale nomina !
Il <Responsabile del trattamento>
Il “Titolare” può facoltativamente nominare o meno uno (o più ) “Responsabile del
trattamento”, a cui delegare una serie di responsabilità che vedremo più oltre. Può anche
nominare più Responsabili. Può essere nominato Responsabile del trattamento anche
un esterno (in questo caso può essere anche un Ente o una società).
In ogni caso il Titolare mantiene l’obbligo di dare istruzioni generali, dettagliate e scritte,
nonché di eseguire controlli periodici e regolari. Anche se nomina un Responsabile, il
Titolare (o chi lo rappresenta) mantiene pressoché intera la sua responsabilità
amministrativa. penale e civile.
Il Responsabile ha la facoltà di nominare degli Incaricati del trattamento, che dipendono dalle sue direttive e
dal suo controllo per quanto riguarda la privacy e protezione dei dati personali.
Il Responsabile può essere una persona fisica interna o esterna o una persona giuridica (= un ente, una
società) esterna.
Se Incaricato o Responsabile sono esterni all’organizzazione del Titolare, agli effetti della Privacy è come
facessero parte integrante della struttura Titolare. Quindi, i dati che si scambiano tra loro non sono una
comunicazione nel senso del Codice Privacy.
FORMAZIONE DOCENTI - Pag. 6 -
Copyright www.paginescuola.it
I Dati Personali
possono essere
di vari tipi
a) Dati giudiziari
Sono i dati personali idonei a rivelare :




L’iscrizione nel casellario giudiziale ( ad esempio: condanna penale, pene accessorie quali
interdizione dai pubblici uffici, ecc.)
L’iscrizione nell’anagrafe delle sanzioni amministrative dipendenti da reato
L’avere carichi pendenti in relazione ai 2 punti testé citati.
La qualità di imputato o di indagato.
Sottolineiamo: fanno parte di questa categoria anche quei dati che sono idonei a rivelare, pur
indirettamente, una di queste situazioni.
FORMAZIONE DOCENTI - Pag. 7 -
Copyright www.paginescuola.it
b) Dati sensibili
Sono i dati personali idonei a rivelare:








l'origine razziale ed etnica
le convinzioni religiose, filosofiche o di altro genere (in particolare l’obiezione di coscienza als
servizio di leva)
le opinioni politiche
l'adesione a partiti
l’adesione a sindacati
l’adesione ad associazioni od organizzazioni a carattere religioso, filosofico, politico o
sindacale
lo stato di salute (compresi stati quali: handicap, menomazioni fisiche, gravidanza e puerperio,
dati genetici e biometrici, infortuni) [biometria: misurazione/descrizione di caratteristiche del
corpo umano sufficienti a riconoscere un individuo: impronte digitali o dell’iride o della voce,
caratteristiche identificatrici del volto, impronte dentali, talune radiografie e simili, ecc ]
la vita sessuale (=compresi cambio di sesso, omosessualità, inclinazioni particolari)
Cosa significa la locuzione “dati idonei a rivelare”.
Sono sensibili anche quei dati parziali, apparentemente poco significativi o neutri, che
possono essere sufficienti a rivelare indirettamente notizie relative alle sfere personali
sensibili. Per esempio, il fatto che un bambino in mensa chieda una certa dieta
(riconducibile alla religione mussulmana) è un’informazione idonea a rivelare
l’orientamento religioso e quindi va classificata come dato sensibile. Lo stesso vale per
una dieta rivelatrice di una patologia. E così via.
1 Idonei a rivelare: l'origine razziale ed etnica
FORMAZIONE DOCENTI - Pag. 8 -
Copyright www.paginescuola.it
2 idonei a rivelare: le convinzioni religiose, filosofiche o di altro genere
3 idonei a rivelare: le opinioni politiche
4 idonei a rivelare: l'adesione a partiti
5 idonei a rivelare: l'adesione a sindacati
FORMAZIONE DOCENTI - Pag. 9 -
Copyright www.paginescuola.it
6 idonei a rivelare: l'adesione ad associazioni od organizzazioni a carattere
religioso, filosofico, politico o sindacale
7
idonei a rivelare:
lo stato di salute
<<< Una foto di persona con handicap o infortunata è un dato
sensibile !!!!
FORMAZIONE DOCENTI - Pag. 10 -
Copyright www.paginescuola.it
8 idonei a rivelare: la vita sessuale
In particolare il cambiamento di sesso, con le conseguenze anagrafiche, ecc.
c) Dati Particolari
(o <quasi-sensibili>)
E’
un'ulte
riore
catego
ria
intermedia tra dati sensibili e comuni, il cui trattamento presenta rischi specifici
per i diritti e le libertà fondamentali ovvero per la dignità dell'interessato, in
relazione alla natura dei dati o alle modalità del trattamento (diffusione!) o agli
effetti che può determinare. Fa parte della filosofia del D.Lgs 196/2003 l’obbligo
per chi tratta i dati personali di valutare se essi, benché non rientrino nelle
categorie definite, siano in grado comunque di minacciare i beni personali protetti (dignità, diritti, libertà); in
tal caso scatta una responsabilità a trattare con adeguata cautela anche tali dati.
La materia è sicuramente un po’ ambigua e controversa; la nozione di “dato
particolare” ha assunto significati diversi nel corso dell’evoluzione della
normativa sulla privacy. Per avere chiarezza definitiva su quali siano
esattamente i dati di cui si parla bisognerà attendere ulteriore
giurisprudenza e pronunce del Garante su una casistica significativa. Nel
frattempo, consigliamo di attribuire a questa categoria tutti quei dati
personali che non sono sensibili né giudiziari, ma che l’Interessato potrebbe
aver dispiacere che siano conosciuti da estranei.
A titolo di esempio, rientrano sicuramente in questa categoria casi di questo
tipo:







Lo stato di adozione di un minore
L’informazione che una persona ha comperato una rivista pornografica; la registrazione in
albergo che il cliente sulla pay-tv ha guardato canali a luci rosse..
L’informazione che una signora è o è stata una prostituta (non è un dato giudiziario, ma lede la
dignità)
particolari immagini foto o video che potrebbero ledere la dignità
Provvedimenti disciplinari o note che non si ha diritto di divulgare (potrebbero ledere il diritto
al lavoro o altri diritti o la dignità della persona)
Informazioni che potrebbero ridurre l’aspettativa di trovare lavoro (che è un diritto
fondamentale), ecc.
Ecc.
Il trattamento dei dati particolari dev’essere soggetto ad accorgimenti a tutela
dell’Interessato. La sanzione per la violazione di questa regola va da € 5.000 a €
30.000 (il minimo effettivamente sanzionato è però € 10.000).
Sia chiaro che questi dati possono essere trattati per finalità lecite e se il
trattamento è pertinente, necessario e non eccedente rispetto alla finalità; la
violazione consiste nel trattarlo fuori di questi casi oppure nella
conservazione senza le dovute cautele o nella comunicazione o diffusione non necessaria.
FORMAZIONE DOCENTI - Pag. 11 -
Copyright www.paginescuola.it
d) Dati COMUNI (o ORDINARI)
Sono i dati personali
NON-SENSIBILI ,
NON-GIUDIZIARI,
NON-PARTICOLARI
Ovviamente sono i più numerosi e di ogni tipo.
Organigramma
Mario
Bianchi
FORMAZIONE DOCENTI - Pag. 12 -
ESEMPI:
Mario
Rossi
Mario
Verdi
XYZ S.R.L.
Mario
Gialli
Copyright www.paginescuola.it
COS’È
UN’<<OPERAZIONE>>
SU UN DATO PERSONALE
Operazione può essere una delle seguenti azioni (o gruppi di azioni) e può essere manuale,
informatica o con strumenti audiovisivi o altri strumenti elettronici:














la raccolta dei dati (fatta in qualsiasi modo, cioè presso l’interessato o presso terzi)
Il semplice possesso o conservazione dei dati personali,
la gestione,
la registrazione o l'organizzazione dei dati,
la consultazione (=la visione da parte di un Responsabile o Incaricato; invece la consultazione
da parte di terzi è una ‘comunicazione’),
il raffronto,
l'utilizzo in qualsiasi forma,
l'elaborazione
la modificazione dei dati,
la selezione o l'estrazione da un archivio dei dati che interessano ,
il blocco (=congelamento, sospensione temporanea di qualsiasi altro trattamento di certi dati
personali; può avvenire su ordine del Garante o decisione del Titolare),
la cancellazione o la distruzione di dati, anche se non registrati in una banca dati.
E inoltre, i più delicati:

FORMAZIONE DOCENTI - Pag. 13 -

l'interconnessione e il raffronto con archivi di altri Titolari

la comunicazione a terzi

la diffusione
Copyright www.paginescuola.it
Ribadiamo:
qualsiasi delle operazioni concernenti una di queste “fasi” costituisce “trattamento”.
Il “trattamento” però normalmente consiste in una serie di queste operazioni.
Sanzioni penali, multe colossali,
risarcimento danni automatico
per chi esegue operazioni
illecite o non consentite
1) Multe pesanti (da 3.000 a
50,000 Euro) per chi non
rispetta le regole, anche in
buona fede.
2) Arresto per chi opera in
malafede o per recare danno
ad altri.
3) Arresto per chi non protegge i
Dati Personali con le misure
di sicurezza minime previste
per legge.
4) Una corsia privilegiata per
l’interessato per ottenere il risarcimento dei danni, anche morali, in sede civile, se una fuga di
notizie lo ha danneggiato. Il Codice Privacy prevede che il Giudice condanni quasi
automaticamente il Titolare che deteneva i dati in questione.
5) Più gravi le sanzioni se riguardano Dati sensibili o Giudiziari.
Due sono le operazioni da tener particolarmente d’occhio,
perché sono quelle su cui più probabilmente non c’è l’autorizzazione
oppure è soggetta a precise restrizioni:
Comunicazione
e
FORMAZIONE DOCENTI - Pag. 14 -
Diffusione (o divulgazione)
Copyright www.paginescuola.it
Cos’è la <DIFFUSIONE>
in senso “Privacy”
L’azione per cui il dato personale può essere potenzialmente CONOSCIUTO da chiunque
Anche l’esposizione
in bacheca, in
luogo aperto al pubblico, è <diffusione>. Idem la messa a disposizione per la consultazione libera di
un fascicolo contenente dati personali.
Ma attenzione !
La diffusione di dati è soggetta a gravi
limitazioni e può comportare i guai peggiori in
caso di abuso, perché un Dato personale
viene fatto conoscere potenzialmente a TUTTI.
Pertanto è opportuno chiedersi sempre se c’è
una norma che la consente (se è un dato
sensibile o giudiziario, la diffusione deve
essere autorizzata dall’apposito Regolamento
di cui parleremo tra breve).
Diffondere dati personali contro le regole
Privacy può comportare l’automatica rifusione dei danni morali e
materiali, nonché possibili conseguenze penali. In caso di dubbio, va chiesta l’autorizzazione al
superiore.
Cos’è la <COMUNICAZIONE> nel senso
“Privacy”
ll Codice Privacy definisce "comunicazione": il dare conoscenza dei dati personali a
uno o più soggetti determinati diversi dall'Interessato, in qualunque forma, anche
mediante la loro messa a disposizione o consultazione. “Soggetti determinati” significa
identificati o identificabili in modo univoco e preciso. Per “soggetti” possono intendersi
anche persone giuridiche, Enti, ecc.
In sostanza, si parla di comunicazione quando si sa a priori “chi” esattamente vedrà o riceverà i dati.
La lettera in busta chiusa è il caso più tipico di comunicazione. Ma lo è anche un’informazione data per
telefono, un fax o un messaggio di posta elettronica. Così pure una foto, una radiografia, un documento ,
una registrazione video mostrati o consegnati a qualcuno. E ancora: una registrazione audio fatta ascoltare
o consegnata. Il punto è se la conoscenza è limitata a soggetti determinati, come sopra spiegato.
FORMAZIONE DOCENTI - Pag. 15 -
Copyright www.paginescuola.it
La lettera alla Questura in cui si comunica l’infortunio di un dipendente è una comunicazione? Si, perché la
Questura è un soggetto determinato (non importa quale funzionario specificamente leggerà la lettera).
Dare temporaneamente un documento da consultare a una persona è
una comunicazione?
Si, se tale persona è identificata e la vede solo lei.
Costituisce comunicazione anche la semplice visione o
consultazione di un atto.
In una riunione con i genitori degli alunni di una classe, conosciuti come tali, dare
informazioni sulle Ditte in cui realizzare stages è una comunicazione? Si, non si tratta
di diffusione perché si parla a soggetti determinati in numero circoscritto.
Come vedremo, parlando degli <Incaricati del trattamento>, sono consentite
senza limiti le comunicazioni di dati fra Incaricati e Responsabili (anche
esterni) dello stesso Titolare; anzi in senso stretto non sono nemmeno
considerate comunicazioni ai sensi del Codice Privacy. Infatti, non si considera
<comunicazione> lo scambio di dati tra soggetti formalmente autorizzati
all’interno dell’Ente stesso (o con soggetti esterni incaricati formalmente di
svolgere attività per conto dell’Ente stesso).
Ma attenzione !
La comunicazione di dati personali è uno dei trattamenti più delicati. Questa operazione è spesso
vietata o soggetta a restrizioni e a particolari condizioni. Quindi è indispensabile chiedersi sempre
se c’è una norma che la consente. Se, poi, si tratta di comunicazione di dati sensibili o giudiziari,
dev’essere esplicitamente prevista dal <REGOLAMENTO PRIVACY> (di cui parleremo tra breve):
esso indica con estrema pignoleria i destinatari consentiti e i contenuti autorizzati per ogni
situazione specifica.
La violazione di queste regole può comportare
conseguenze pesantissime.
Pertanto è fondamentale che ogni operatore sappia
riconoscere
con assoluta sicurezza ogni caso di
<<comunicazione>> e se è consentita nel caso specifico.
Comunicare dati personali contro le regole Privacy può
comportare l’automatica rifusione dei danni materiali e
morali,
nonché
possibili conseguenze penali.
Poiché la comunicazione di dati è soggetta a gravi limitazioni e può comportare guai seri in caso di
abuso, è opportuno chiedersi sempre se chi riceve l’informazione ne ha diritto, se
c’è una norma che la consente.
I motivi per le forti limitazioni alla comunicazione sono 2 :
1) se il Cittadino affida i propri dati a uno specifico Ente, quando essi sono comunicati
ad altri, in parte egli perde il controllo dei flussi di dati che lo riguardano e delle
garanzie con cui vengono trattati, quindi è necessario che:
 egli sia puntualmente informato di ciò al momento in cui consegna i dati (l’informativa deve indicare che ci
sarà una comunicazione di dati e a chi /o a quale tipologia di destinatario!)
 la comunicazione avvenga soltanto se realmente necessaria e comunque solo in presenza di norme di legge o di
autorizzazioni del Garante che la consentano o la prevedano (un Ente Pubblico, come si vedrà più oltre, potrà anche
dotarsi di un regolamento che autorizzerà certe comunicazioni)
FORMAZIONE DOCENTI - Pag. 16 -
Copyright www.paginescuola.it
 la comunicazione si limiti agli elementi strettamente pertinenti e indispensabili alla finalità da raggiungere.
2) il Codice Privacy vuole
impedire che più Titolari
mettano in
comunicazione fra loro i
rispettivi archivi creando
così di fatto un superarchivio con una tale
concentrazione di dati
personali che
diventerebbe una
minaccia per il diritto alla
riservatezza del cittadino
e anche per la sua
libertà.
Se più Titolari
si comunicano
rispettivamente
i Dati Personali
detenuti, nasce
un SuperArchivio
FORMAZIONE DOCENTI - Pag. 17 -
Copyright www.paginescuola.it
IL TRATTAMENTO, ANCHE
DEI SOLI DATI COMUNI
E’ SOTTOPOSTO A FORTI
REGOLE
Io detto regole molto restrittive
per l’uso anche dei soli dati
personali comuni !
Come vedremo, le regole per i dati sensibili e giudiziari sono dettate da un apposito REGOLAMENTO.
Questo, però, non significa che non esistano regole rigidissime anche per i dati comuni, meno delicati.
I DATI COMUNI possono essere trattati solo se
esistono TUTTE le seguenti condizioni ……………..
1 - solo se serve per FINALITÀ ISTITUZIONALI,
ovvero per finalità di istruzione e attività indirette ad
essa necessarie (è una DISPOSIZIONE DI LEGGE che
stabilisce che un determinato trattamento RIENTRA TRA LE
COMPETENZE ISTITUZIONALI facoltative od obbligatorie di
un determinato ente). Per esempio, gestire dati sensibili degli
alunni per scopi statistici non rientra tra le finalità della scuola !
2 - solo se è NECESSARIO per la finalità istituzionale trattare quel dato e
compiere su di esso l’operazione / le operazioni che s’intende effettuare.
Il tipi di dato utilizzato e le operazioni eseguite devono essere PERTINENTI e
NON ECCEDENTI rispetto alle finalità e PROPORZIONALI ALLO SCOPO: ci
vuole rigoroso senso di misura sulla quantità e qualità dei dati che si utilizzano
rispetto allo scopo da raggiungere in ciascuna operazione di trattamento
3 – la COMUNICAZIONE E LA DIFFUSIONE sono lecite solo se PREVISTE
DA UNA SPECIFICA NORMA. Se manca la norma, la sola comunicazione ad
altri Enti Pubblici può essere richiesta di autorizzazione al Garante Privacy (se
non la vieta entro 45 gg, vale il silenzio-assenso). L’art. 96 prevede una DEROGA
per gli alunni: possono chiedere che i loro dati siano comunicati a ditte, scuole,
ecc. a fini di orientamento, stages o inserimento professionale (ma su loro
richiesta !)
4 - solo se ….chi compie l’operazione di
trattamento è stato formalmente nominato
<<INCARICATO>> DI QUELLO SPECIFICO
TRATTAMENTO.
FORMAZIONE DOCENTI - Pag. 18 -
Copyright www.paginescuola.it
►►
Esiste un’assoluta inutilizzabilità dei dati trattati in
violazione delle regole del
Codice Privacy !
ecc.
Violare una sola di queste regole, comporta il risponderne
per danni e la possibile nullità degli atti basati su tale
trattamento illegittimo.
Invece le regole per trattare i dati
sensibili o giudiziari sono molto,
molto più specifiche e restrittive !
Sono dettate da un apposito
REGOLAMENTO che studieremo
nel prossimo capitolo.
FORMAZIONE DOCENTI - Pag. 19 -
Copyright www.paginescuola.it
Dal 30 gennaio 2007 è in
vigore il Regolamento sui
dati sensibili e giudiziari
trattati dalle scuole
pubbliche
E’ nato …….
Il 30 gennaio 2007 è entrato in vigore il <Regolamento recante
identificazione dei dati sensibili e giudiziari trattati e delle relative
operazioni effettuate dal Ministero della pubblica istruzione, in attuazione
degli articoli 20 e 21 del decreto legislativo 30 giugno 2003, n. 196, recante
«Codice in materia di protezione dei dati personali», approvato con decreto
del Ministero Istruzione del 7.12.2006.>
Esso ha valore per TUTTE LE SCUOLE STATALI ITALIANE, nonché per
tutte le articolazioni centrali e periferiche del M.P.I.
D’ora innanzi il Regolamento sarà lo strumento per stabilire se la tua scuola, per
ognuna di 7 finalità ben circoscritte, è legittimata a trattare certi dati sensibili o
giudiziari o a compiere determinate operazioni con essi.
Il 30 gennaio 2007 è terminata così la cosiddetta <fase transitoria>, che era una sorta di proroga mascherata
della piena applicazione dell’intera normativa Privacy. Ora si è entrati nel regime definitivo, perciò non sono
più perdonabili certe errori e lacune.
Il regime definitivo è composto da:
1) Una PARTE GENERALE valida per tutti i trattamenti e tutti i dati sensibili e giudiziari.
2) Una PARTE SPECIFICA PER CIASCUN TRATTAMENTO, che fissa nel dettaglio, profili
differenziati di autorizzazione a trattare i relativi dati sensibili o giudiziari.
FORMAZIONE DOCENTI - Pag. 20 -
Copyright www.paginescuola.it
Regolamento :
Parte Generale
Si tratta del testo del Regolamento. Mentre la parte specifica è costituita da 7 schede allegate.
Questa parte generale è composta da 3 articoli di premessa generale, che riprendono tali e quali le norme
già contenute nel DLGS 196/2003.
Riassumiamo.
Un Ente pubblico (e quindi anche la scuola statale) può trattare un dato sensibile o
giudiziario limitatamente ai casi che rientrano contemporaneamente in tutte le seguenti
4 condizioni:
Un trattamento è legittimo solo se esistono tutte
queste condizioni ….come una catena con ogni
anello perfetto
1
solo se serve per FINALITÀ ISTITUZIONALI, ovvero per finalità di istruzione e
attività indirette ad essa necessarie (è una DISPOSIZIONE DI LEGGE che stabilisce che
un determinato trattamento RIENTRA TRA LE COMPETENZE ISTITUZIONALI
facoltative od obbligatorie di un determinato ente). Per esempio, gestire dati sensibili degli
alunni per scopi statistici non rientra tra le finalità della scuola !
2
solo se è STRETTAMENTE INDISPENSABILE per la finalità trattare quel dato e
compiere su di esso l’operazione / le operazioni che s’intende effettuare.
Usdo del dal dao eoeprazioni devono essere NON ECCEDENTI rispetto alle finalità e
PROPORZIONALI ALLO SCOPO: ci vuole rigorosissimo senso di misura sulla quantità
e qualità dei dati che si utilizzano rispetto allo scopo da raggiungere in ciascuna operazione di
trattamento
3
solo se quel tipo di dato sensibile o giudiziario che s’intende trattare è
autorizzato dalla scheda specifica riguardante il trattamento in questione, la
quale è allegata al Regolamento
Spiegheremo più oltre cosa s’intende esattamente per <<tipo di dato>>.
4
solo se ogni operazione specifica che s’intende compiere su quel dato (autorizzato in base
al punto precedente) è anch’essa autorizzata dalla scheda specifica del Regolamento
riferita al trattamento in questione. Spiegheremo più oltre cosa s’intende esattamente per
<<operazione>>.
FORMAZIONE DOCENTI - Pag. 21 -
Copyright www.paginescuola.it
Se una di queste 4 condizioni manca, la catena della legittimazione si
interrompe e quindi il trattamento diviene illegittimo a tutti gli effetti.
Questo non va mai dimenticato !!!
►►
Inutilizzabilità dei dati trattati in violazione delle regole del Codice
Privacy:
“I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati
personali non possono essere utilizzati.” Questo principio (art. 11 del Dlgs 196/2003)) è inderogabile e
la sua violazione, negli enti pubblici, potrebbe comportare la nullità degli atti, con tutte le gravi
conseguenze del caso ! Compresi i danni recati a terzi !
Inoltre, l’uso arbitrario di dati personali comporta responsabilità automatica in sede civile, se
l’interessato lamenta di averne ricevuto un danno anche solo morale.
Inoltre, gli interessati, possono far ricorso all’Autorità Garante per la
Privacy e chiederne l’intervento per bloccare immediatamente a norma di
legge il trattamento che non rispetta queste regole. In tali casi è facoltà del
Garante di mandare un nucleo di Guardia di Finanza a compiere
un’ispezione, che potrebbe comportare parecchi problemi, se non è
interamente applicata tutta la normativa Privacy nella gestione dei dati, in
particolare dei computers..
L’anello
mancante
Pertanto, le regole già illustrate e quelle che presenteremo devono essere
ben studiate e applicate INTEGRALMENTE. La disapplicazione anche di
una sola regola fa cadere nell’illegittimità l’intero trattamento coinvolto.
Il REGOLAMENTO non tratta dei dati comuni !
Per essi valgono le regole, severe ma meno restrittive, già
illustrate.
FORMAZIONE DOCENTI - Pag. 22 -
Copyright www.paginescuola.it
Regolamento :
Parte SPECIFICA PER
SINGOLO TRATTAMENTO
Il Regolamento, mediante le
schede allegate, serve a….
1) identificare esattamente quali sono i
7 trattamenti di dati personali che possono aver bisogno di
usare dati sensibili o giudiziari ( per trattamento s’intende l’insieme delle operazioni che vengono
eseguite per una specifica finalità; ad esempio: gestione dei dipendenti, gestione della didattica e delle
valutazioni degli alunni, ecc.)
2) assegnare a ciascuno dei 7 trattamenti un profilo differenziato, riguardo ai tipi di dati sensibili e
giudiziari che è consentito trattare. Ad esempio, per il trattamento n. 3 (Elezione degli Organi
Collegiali) il profilo specifico consiste nel permesso di trattare i dati sensibili di tipo sindacale e i dati
giudiziari, mentre vieta di utilizzare tutti gli altri tipi di dati sensibili. Il profilo cambia per ciascun
trattamento, quindi prima di tutto è necessario capire a fondo a quale trattamento appartiene
l’intervento che andiamo a fare su dati personali (spiegare meglio più oltre il come)
3) definire per ciascuno dei 7 trattamenti un profilo differenziato anche riguardo alle operazioni
consentite sui dati sensibili o giudiziari. Infatti, per esempio…
>Ti spiego cos’è un
<<TRATTAMENTO>>
Il <<trattamento>> consiste in una singola <<operazione>> o in più
<<operazioni>>, coerenti per una specifica finalità comune.
Qualsiasi delle operazioni può costituisce
<<trattamento>> anche da sola.
Il <<trattamento>> però normalmente consiste in una
serie di queste operazioni purché siano
coerenti per finalità (= abbiano identica finalità), altrimenti si dovrebbe parlare di più trattamenti.
Un trattamento si identifica mediante la finalità
perseguita (o finalità simili convergenti).
Ogni finalità pertanto comprende una famiglia di sub-trattamenti omogenei per
scopo, cioè aventi un’evidente comunanza di finalità.
Ogni attività amministrativa o imprenditoriale va pertanto analizzata per
individuare i gruppi di trattamento riconducibili alla stessa finalità. Il Codice
Privacy non detta regole precise, volendo si possono individuare anche un
numero di finalità maggiore di quello strettamente necessario, perché ovviamente si può decidere
di andare più al dettaglio. Per esempio, si può considerare separato trattamento la gestione del
personale rispetto alla fase di selezione e reclutamento, si può separare in trattamenti diversi la
gestione del personale dipendente da quello assimilato. E così via. Per esempio si potrebbe decidere
che costituisce autonomo trattamento ciascuna di queste finalità:
FORMAZIONE DOCENTI - Pag. 23 -
Copyright www.paginescuola.it
=7
TRATTAMENTI CHE USANO DATI COMUNI, SENSIBILI O GIUDIZIARI (>>>
REGOLAMENTO DATI SENSIBILI E GIUDIZIARI). Classificazione dei trattamenti.
Tratt. 1
DIPENDENTI E ASSIMILATI: Selezione e reclutamento a tempo indeterminato e
determinato, e gestione del rapporto di lavoro del personale dipendente ecc.
Tratt. 2
DIPENDENTI E ASSIMILATI : Gestione del contenzioso e procedimenti disciplinari
Tratt. 3
Organismi collegiali e commissioni istituzionali
Tratt. 4
Attività propedeutiche all' avvio dell'anno scolastico
Tratt. 5
Attività educativa, didattica e formativa, di valutazione
Tratt. 6
Attività di controllo su scuole non statali (OPZIONALE, a seconda delle competenze del
Dirigente)
Tratt. 7
Rapporti scuola – famiglie : gestione del contenzioso
In questo manuale tratteremo solo delle regole stabilite per l’ Attività educativa,
didattica e formativa, di valutazione, che sono quelle che il Docente deve applicare nella sua
attività professionale.
n° 5
Attenzione !
Le regole che presenteremo valgono solo per le operazioni che hanno come
finalità l’attività educativa, didattica e formativa, di valutazione.
FORMAZIONE DOCENTI - Pag. 24 -
Copyright www.paginescuola.it
Scheda 5 – Sintesi
Attività educativa, didattica e formativa, di valutazione
FORMAZIONE DOCENTI - Pag. 25 -
Copyright www.paginescuola.it
Tabella 1
ORIGINE
X razziale
X etnica
CONVINZIONI
X religiose
X politiche
X filosofiche
X d'altro genere
[ ] sindacali (NON AMMESSE !)
STATO DI
SALUTE
X patologie attuali X patologie pregresse
X terapie in corso X dati sulla salute relativi anche ai familiari
VITA SESSUALE
X
.
DATI DI CARATTERE GIUDIZIARIO (Art. 4, comma 1, lett. E), del Codice)
X
Però, questi tipi di dati
possono essere trattati solo nei
casi seguenti:
Nell'espletamento delle attività educative, didattiche e formative, curriculari ed
extracurricuiari, di valutazione ed orientamento, di scrutini ed esami da parte delle
istituzioni scolastiche di ogni ordine e grado, ivi compresi convitti, educandati e scuole
speciali, possono essere trattati dati sensibili relativi:
FORMAZIONE DOCENTI - Pag. 26 -
Copyright www.paginescuola.it
1) alle origini razziali ed etniche per favorire l'integrazione degli alunni con cittadinanza
non italiana;
2) alle convinzioni religiose per garantire la libertà di credo
religioso;
1
3) allo stato di salute, per assicurare l'erogazione
 del servizio di refezione scolastica,
 del sostegno agli alunni disabili,
 dell'insegnamento domiciliare ed ospedaliero nei confronti degli alunni
affetti da gravi patologie,
 per la partecipazione alle attività educative e didattiche programmate,
 a quelle motorie e sportive,
 alle visite guidate e ai viaggi di istruzione;
FORMAZIONE DOCENTI - Pag. 27 -
Copyright www.paginescuola.it
4) ai dati giudiziari, per assicurare il diritto allo studio anche a
soggetti sottoposti a regime di detenzione;
Consulte e delle
Associazioni degli
studenti e dei genitori
5) alle convinzioni politiche, per la
costituzione e il funzionamento
delle Consulte e delle Associazioni
degli studenti e dei genitori.
Inoltre……
I dati sensibili possono
essere trattati per le
attività di valutazione
periodica e finale, per le
attività di orientamento e
per la compilazione della
certificazione delle
competenze.
Nell’ambito dei trattamenti previsti da questa scheda, i tipi di dati
illustrati nella tabella 1 possono essere utilizzati anche negli
ulteriori casi riferibili al perseguimento delle seguenti finalità di
<rilevante interesse pubblico>
- ART. 68: "applicazione della disciplina in materia di concessione, liquidazione, modifica e revoca
di benefici economici, agevolazioni, elargizioni, altri emolumenti e abilitazioni";[vedi particolari
cautele da osservare]
- ART. 73: " supporto al collocamento e avviamento al lavoro "
- ART. 86: " a) tutela sociale della maternità e di interruzione volontaria della gravidanza; b)
stupefacenti e sostanze psicotrope; c) assistenza, integrazione sociale e diritti delle persone
handicappate [importante: vedi testo completo !!!]". [vedi particolari cautele da osservare]
- ART. 95: "finalità di istruzione e di formazione in ambito scolastico, professionale, superiore o
universitario ".
FORMAZIONE DOCENTI - Pag. 28 -
Copyright www.paginescuola.it
DIFFUSIONE : autorizzata IN NESSUN CASO !!!
FORMAZIONE DOCENTI - Pag. 29 -
Copyright www.paginescuola.it
COMUNICAZIONE
AUTORIZZATA SOLO ai seguenti soggetti per le seguenti finalità:
Alle altre istituzioni scolastiche, statali e non statali,
per la trasmissione della documentazione attinente la
carriera scolastica degli alunni, limitatamente ai dati
indispensabili all'erogazione del servizio;
agli Enti Locali per la fornitura dei servizi ai sensi del D.Lgs. 32 marzo 1998, n.
112
,
limitatamente ai dati indispensabili all'erogazione del servizio (Il D.Lgs tratta:
Conferimento di funzioni e compiti amministrativi dello Stato alle regioni ed agli enti locali, in
attuazione del capo I della legge 15 marzo 1997, n. 59)
ai gestori pubblici e privati dei servizi di assistenza agli alunni e di supporto
all'attività scolastica, ai sensi delle leggi regionali sul diritto allo studio,
limitatamente ai dati indispensabili all'erogazione del servizio;
agli Istituti di assicurazione per denuncia di infortuni e per la connessa responsabilità
civile;
all’INAIL per la denuncia di infortuni ai sensi del D.P.R. n.
1124/1965 (testo unico delle disposizioni per l'assicurazione
obbligatoria contro gli infortuni sul lavoro e le malattie
professionali).
alle AUSL e agli Enti Locali per il funzionamento dei Gruppi di Lavoro di
istituto per l'Handicap e per la predisposizione e la verifica del Piano Educativo
Individuale, ai sensi della Legge 5 febbraio 1992, n.104 (Legge-quadro per
l'assistenza, l'integrazione sociale e i diritti delle persone handicappate (GU 17.02.1992 N. 39
SO) Materia: handicap (anche di familiari), pubblico impiego e servizi pubblici, Assistenza,
previdenza e assicurazioni).
Attività di sostegno ad alunni disabili
FORMAZIONE DOCENTI - Pag. 30 -
Copyright www.paginescuola.it
ad aziende, imprese e altri soggetti pubblici o privati per tirocini formativi,
stages e alternanza scuola-lavoro, ai sensi della Legge 24 giugno 1997, n. 196 (1)
e del D. Lgsl. 21 aprile 2005, n. 77 (2) e, facoltativamente, per attività di rilevante
interesse sociale ed economico, limitatamente ai dati indispensabili all'erogazione del servizio.
(1)
Tratta
di:
Norme
in
materia
di
promozione
dell'occupazione.
(2) Tratta di: Definizione delle norme generali relative all'alternanza scuola-lavoro, a norma
dell'articolo 4 della legge 28 marzo 2003, n. 53. (GU n. 103 del 05/05/2005)
Altre operazioni più ricorrenti
autorizzate
RACCOLTA:
X presso gli interessati
ELABORAZIONE:
X in forma cartacea
X presso terzi
X con modalità informatizzate
Altre operazioni ordinarie:
registrazione, organizzazione, conservazione, consultazione, modificazione, selezione, estrazione,
raffronto, utilizzo, blocco, cancellazione e distruzione. [E’ CONSENTITO IL <RAFFRONTO> CON
ALTRI DATI DETENUTI DAL TITOLARE , ma seguendo le regole previste (*)]
(*) In merito, l’art. 2 del Decreto Ministeriale che ha approvato il Regolamento prevede: << 3. I raffronti e le
interconnessioni con altre informazioni sensibili e giudiziarie sono consentite soltanto previa verifica della loro stretta
indispensabilità rispetto ai singoli casi e previa indicazione scritta dei motivi che ne giustificano l'effettuazione. >>.
Peraltro questa prescrizione ricalca esattamente quella contenuta nell’art. 22 comma 10 del Dlgs 196.
Il Regolamento non tratta dei dati comuni,
però i trattamenti previsti in questa scheda
riguardano anche dei dati comuni. Per
quest’ultimi, però, non si applicano le regole
indicate nella scheda, bensì le regole generali
previste per i dati comuni, così sintetizzabili:
FORMAZIONE DOCENTI - Pag. 31 -
Copyright www.paginescuola.it
Obblighi di
Protezione e
Sicurezza
dei Dati Personali
e
Il Titolare, il responsabile
l’Incaricato del
trattamento devono
garantire la sicurezza
con cui gestiscono i
Dati Personali loro
affidati e ne
rispondono. Infatti,
nella tua nomina ad
Incaricato sono anche
riportate le regole che
devi applicare.
Non rispettare le
regole di sicurezza e
le specifiche misure
che tra breve
illustreremo,
comporta pesanti
sanzioni, possibili
condanne penali e il risarcimento automatico dei
danni morali e materiali ai danneggiati.
FORMAZIONE DOCENTI - Pag. 32 -
Copyright www.paginescuola.it
Le misure di sicurezza
Non comunicare Dati Personali a chi non ne ha
diritto.
Non comunicarli dati sensibili a chi ne avrebbe
diritto se non è assolutamente INDISPENSABILE.
Non diffondere Dati Personali, tranne i casi previsti
per legge (esiti di scrutini ed esami)
Assicura una
buona
sicurezza
dell’edificio e
della stanza
dove sono i
Dati
Personali, per proteggerli dal furto e dalla distruzione per
incendio o altra causa.
FORMAZIONE DOCENTI - Pag. 33 -
Copyright www.paginescuola.it
Se nel computer a scuola
hai Dati Personali.
REGOLE:
1) Una password segreta individuale (almeno 8 caratteri !) per
accedere alla parte della memoria locale o del Server dove sono
memorizzati i dati che detieni TU ! Va cambiata ogni 3 mesi (6
mesi se non ci sono dati sensibili). Copia della password
segreta va messa in busta chiusa e consegnata al “Custode elle
Password”., scrivendoci il tuo nome e la scadenza della pw,
2) Installa un software Antivirus aggiornabile
periodicamente con l’impronta dei nuovi virus.
3)
Installa ed utilizza un software o un dispositivo
“Firewall” , che serve per bloccare intrusioni
dall’esterno per via telematica da parte di
malintenzionati.
FORMAZIONE DOCENTI - Pag. 34 -
Copyright www.paginescuola.it
4) Esegui l’aggiornamento del sistema operativo e del
software, per renderlo più sicuro da intrusioni.
Semestralmente se ci sono dati sensibili o giudiziari;
altrimenti almeno una volta all’anno.
Gli aggiornamenti periodici dei programmi per elaboratore
sono volti a prevenire la vulnerabilità di strumenti elettronici e
a correggerne difetti.
5) Fa il backup almeno
settimanale dei tuoi files
contenenti Dati Personali
6) Non buttare o cedere dischi usati prima di averli
cancellati o resi inutilizzabili, in particolare se
contengono DATI SENSIBILI o giudiziari.
I supporti rimovibili contenenti dati sensibili o giudiziari se
non
utilizzati,
VANNO distrutti o resi inutilizzabili, ovvero
possono essere riutilizzati da altri incaricati, non autorizzati
al
trattamento degli stessi dati, se le informazioni
precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili.
7) Non lasciare il computer funzionante aperto mentre
sei via. Inserisci il salvaschermo con password.
Non lasciare incustoditi
dischi o chiavette Usb
contenenti Dati Personali.
FORMAZIONE DOCENTI - Pag. 35 -
Copyright www.paginescuola.it
Per i Dati Personali che detieni
su carta (Registri, fascicoli,
schede, verbali, certificati,
ecc.)
1) Mantienili
in
luogo protetto, in
modo
che
nessuno che non
ne
ha
diritto
possa vederli.
2) Se sono DATI
SENSIBILI
mantienili chiusi a chiave in contenitore di cui hai
l’unica chiave.
3) Non lasciare incostuditi , neanche per breve
tempo, documenti contenti dati personali, ancor
peggio se contengono DATI SENSIBILI !
4) Attento a non gettare nei rifiuti documenti contenenti
Dati personali. Prima stracciali e, SE CONTENGONO
DATI SENSIBILI, usa l’apposita macchina tritacarta che
esiste anche nella tua scuola.
FORMAZIONE DOCENTI - Pag. 36 -
Copyright www.paginescuola.it
Foglio da restituire al Datore di lavoro, compilato in ogni parte e firmato
Al Datore di lavoro
Oggetto: attestazione della formazione obbligatoria relativamente al DLgs 196/2003
Argomento: Formazione generale e specifica sul Regolamento dati Sensibili
Il sottoscritto Docente _____________________________________________________
dichiara di aver ricevuto e letto il testo completo relativo all’argomento indicato, composto di 36
pagine con numerosissime illustrazioni esplicative.
In fede
Data: ___. ____. 200__
(firma)__________________________________
Il tuo datore di lavoro deve mostrare
questa ricevuta, se arriva un’ispezione
della Guardia di Finanza. Perciò
ricordati di restituirla !
FORMAZIONE DOCENTI - Pag. 37 -
Copyright www.paginescuola.it