Privacy a scuola: le violazioni che hanno portato alle sanzioni del Garante
lentepubblica.it
La Relazione del Garante Privacy analizza le principali violazioni commesse dalle scuole: dai dati sanitari ai social, fino alle email e ai video.
La tutela dei dati personali rappresenta uno degli adempimenti più delicati per gli istituti scolastici. A dimostrarlo è la più recente Relazione annuale del Garante per la protezione dei dati personali, che dedica un’ampia sezione ai provvedimenti adottati nei confronti delle scuole per violazioni del Regolamento europeo sulla protezione dei dati (GDPR). Un’analisi approfondita, ripresa e commentata anche da un articolo di Aluisi Tosolini pubblicato su Tecnica della Scuola, che ricostruisce le principali tipologie di errori riscontrati dall’Autorità senza indicare il nome degli istituti coinvolti, ma descrivendo nel dettaglio le condotte che hanno determinato l’adozione delle sanzioni.
Dall’esame dei casi emerge un messaggio chiaro: non sono soltanto le violazioni più evidenti a esporre le scuole a responsabilità, ma anche disattenzioni apparentemente marginali che possono comportare la diffusione illecita di dati personali, spesso riferiti a minori o a informazioni particolarmente sensibili.
Dai social alle email: gli errori più frequenti nelle scuole
Tra i casi richiamati nella Relazione figurano situazioni molto diverse tra loro.
Un istituto scolastico è stato sanzionato per aver pubblicato sul proprio canale YouTube un video di auguri natalizi nel quale comparivano numerosi studenti senza aver acquisito un consenso valido, specifico e informato.
In un’altra vicenda, una scuola aveva incaricato un influencer di realizzare un video promozionale all’interno dell’istituto. Il filmato, successivamente pubblicato sui profili social dell’influencer, mostrava anche una studentessa e, secondo il Garante, mancava una base giuridica adeguata per il trattamento dei dati personali, oltre alla necessaria nomina dell’influencer quale responsabile del trattamento.
Un altro provvedimento ha riguardato un asilo che aveva pubblicato sul proprio sito internet e sul profilo Google Maps immagini di bambini in momenti particolarmente delicati della giornata, come il riposo, il pranzo o il cambio del pannolino. Alla diffusione delle fotografie si è aggiunta l’installazione di telecamere di videosorveglianza all’interno di locali particolarmente sensibili, come bagni, refettori, guardaroba e aree dedicate al riposo, senza aver preventivamente effettuato la valutazione d’impatto prevista dalla normativa e determinando, di fatto, anche un controllo a distanza dei lavoratori.
Dati sanitari, protocollo informatico e documenti online
Tra gli episodi più significativi emerge anche quello relativo a un nido comunale e alla cooperativa incaricata della gestione del servizio. In occasione della comunicazione di uno sciopero è stato inviato per errore a numerosi destinatari un file Excel contenente informazioni sulle patologie, sulle disabilità degli alunni e sull’assegnazione degli insegnanti di sostegno. Il Garante ha ritenuto il trattamento illecito sia per la diffusione dei dati sanitari sia per l’invio di informazioni eccedenti rispetto alle finalità della comunicazione.
Un’altra scuola è stata invece sanzionata per aver inviato una comunicazione relativa agli adempimenti vaccinali degli alunni lasciando visibili gli indirizzi email di tutti i destinatari. In questo modo ciascun genitore ha potuto conoscere non solo gli indirizzi di posta elettronica degli altri, ma anche informazioni riconducibili alla situazione vaccinale dei rispettivi figli.
La Relazione richiama poi il caso di una circolare di convocazione di un consiglio di classe straordinario pubblicata sul sito istituzionale. Sebbene il nominativo dello studente fosse stato oscurato all’interno del documento, il cognome del minore risultava ancora leggibile nel nome del file allegato, rendendo di fatto identificabile l’interessato. Un episodio che dimostra come anche dettagli apparentemente trascurabili possano determinare una violazione della normativa sulla protezione dei dati personali.
Non sono mancati provvedimenti riguardanti la gestione del personale scolastico. In un liceo sono stati trasmessi alle famiglie degli studenti i curriculum vitae dei docenti candidati a una selezione interna, affinché scegliessero l’insegnante preferito. In un altro caso è stato inserito nel protocollo informatico ordinario un ricorso contenente dati sanitari relativi a un dipendente, rendendolo accessibile anche a personale non autorizzato. Un diverso istituto ha invece pubblicato sul proprio sito una graduatoria contenente indirizzi di residenza e numeri telefonici dei candidati, dati poi indicizzati dai motori di ricerca.
Attenzione anche alla nomina del Responsabile della protezione dei dati
Tra le violazioni evidenziate dalla Relazione figura anche la tardiva nomina del Responsabile della protezione dei dati (RPD o DPO). Un istituto scolastico è stato sanzionato per aver provveduto con notevole ritardo alla designazione del nuovo responsabile e alla comunicazione dei relativi dati al Garante dopo la cessazione dell’incarico del precedente. Lo stesso istituto coinvolto nella vicenda della circolare disciplinare è stato inoltre destinatario di un ulteriore provvedimento proprio per la mancata tempestiva nomina del RPD.
La formazione resta il principale strumento di prevenzione
Come osserva Aluisi Tosolini nel suo approfondimento, i casi riportati nella Relazione non riguardano comportamenti sistematicamente dolosi, ma evidenziano come errori organizzativi, disattenzioni operative o una formazione insufficiente possano determinare conseguenze rilevanti sotto il profilo della protezione dei dati personali.
La ricostruzione proposta dal Garante assume quindi anche un valore preventivo. Le violazioni analizzate rappresentano esempi concreti dai quali dirigenti scolastici, personale amministrativo e docenti possono trarre indicazioni utili per rafforzare le procedure interne, verificare la corretta gestione dei dati personali e ridurre il rischio di incorrere in sanzioni.
Dalla pubblicazione di fotografie e video all’utilizzo delle mailing list, dalla protocollazione dei documenti alla gestione dei dati sanitari, ogni fase dell’attività amministrativa richiede infatti particolare attenzione, soprattutto quando coinvolge informazioni riferite a minori o categorie di dati particolarmente sensibili.
The post Privacy a scuola: le violazioni che hanno portato alle sanzioni del Garante appeared first on lentepubblica.it.
Qual è la tua reazione?
Mi piace
0
Antipatico
0
Lo amo
0
Comico
0
Wow
0
Triste
0
Furioso
0
Commenti (0)