Corso Privacy

Il Trattamento dei dati a scuola
tra Trasparenza e Riservatezza

HA ANCORA SENSO OGGI LA PRIVACY ?
Per privacy sintende comunemente il diritto della persona di impedire

che le informazioni che la riguardano siano trattate da altri, se non si sia
volontariamente dato il proprio consenso al trattamento dei propri dati.
Ma come si fa a parlare di privacy con telefonini che rivelano la nostra

posizione anche quando sono spenti ? Che dire poi delle carte di credito
o dei bancomat? O ancora dei fastpay o dei telepass autostradali?
Inoltre siamo sempre di pi sul web nei social network.
Con la condivisione dei file esiste il rischio che la propria privacy possa
essere violata.
Per la mia generazione la privacy non un valore.

Cos Mark Zuckerberg, fondatore di Facebook, in unintervista a Repubblica.
In effetti a chi non piace condividere con gli amici via
Facebook tutto ci che facciamo o leggiamo o guardiamo nel
Web?
Ebbene la nostra privacy a rischio: i pulsanti come Mi
piace o Share permettono di tracciare i percorsi della nostra
navigazione e il social network sa tutto sulla nostra navigazione.
Quindi la privacy ancora un valore?
Certo. La privacy deve essere un valore perch
un diritto inviolabile posto a garanzia del fatto che ciascuno di
noi possa scegliere o meno di esprimere volontariamente ci
che , liberamente , nel rispetto delle libert altrui.
Se il valore che si d alle informazioni riguardanti la propria
persona scarso perch si conoscono solo sommariamente i
problemi legati alla materia di sicurezza; allora opportuno
fare formazione .
Ma attenzione !
Le INFORMAZIONI alle quali abbiamo accesso per il
nostro lavoro si possono RICEVERE ma si possono
anche DIVULGARE ,
Quindi , non solo la nostra Privacy ad essere in

pericolo e a dover essere rispettata
ma anche quella degli altri.
E quindi importante , soprattutto per dei pubblici

dipendenti , rispettare e far rispettare il diritto alla
riservatezza di alunni , famiglie e colleghi .
Un po di storia
La nozione di Privacy ha origini antiche e non
ha avuto sempre connotazioni univoche.
Nellantica Grecia ad es. era un dovere per i
cittadini maschi partecipare alla vita pubblica.
La riservatezza fine a s stessa , come vita spesa
fuori dal mondo comune , era considerata
quasi antisociale tanto che lo stesso Platone
riteneva che in una societ ideale non vi fosse
alcun bisogno di una sfera privata dove
rifugiarsi. Anzi veniva considerato un pretesto
per sottrarsi agli obblighi etici e sociali.
In et medievale il termine divenne sinonimo
di Familiare. Nella societ feudale il potere
pubblico come noi lo conosciamo si
frammentava , si disseminava di casa in casa
trasformando ogni dimora in un piccolo stato
sovrano dove si esercita un potere che , pur
essendo limitato ad una famiglia , conservava
ugualmente il suo carattere pubblico. La fitta
rete di relazioni che collegavano gli individui
che ne facevano parte , caratterizzava la
societ feudale. Finch non si svilupp il senso
di Intimit. Lintimit consentiva allindividuo di
distaccarsi dalla vita in comune con i propri
associati :
Intimit nel sonno , intimit nei pasti , intimit nel rituale
religioso e sociale e infine intimit di pensiero.
Ci segna la fine delle reciproche relazioni sociali tra i
ranghi inferiori e superiori del regime feudale che
port alla sua disgregazione ed allaffermazione della
riservatezza nella sua connotazione a noi pi vicina.
Questo fu possibile grazie alla progressiva costruzione
di uno Stato moderno e lo sviluppo
dellalfabetizzazione.
Tra il XVIII e il XIX secolo si afferm il cosiddetto Right to
privacy cio la privacy in ambito giuridico. Nacque
lesigenza di protezione giuridica della personalit di
un individuo equiparando la violazione della privacy a
quella del domicilio privato.
Il diritto alla Privacy nellordinamento italiano:
La tutela generale dellinteresse alla riservatezza trova
fondamento negli artt. 3 e 13 della Costituzione. Il primo
parla di pari dignit sociale delluomo, il secondo
dellinviolabilit della libert della persona.
La riservatezza dunque quellinteresse che in base ad
una certa valutazione legislativa e sociale risulta
fondamentale per lindividuo al quale si riconosce un
certo ambito privato dal quale poter escludere laltrui
ingerenza e lindiscriminata pubblicizzazione di ci che
lo riguarda nellintimo. Il rifiuto di tale riconoscimento
finirebbe col menomare gravemente la persona
pregiudicando la sua dignit. Definendo la riservatezza
un valore essenziale della persona , il diritto alla privacy
diventa diritto inviolabile tutelato dallart. 2 della
Costituzione
La Repubblica riconosce e
garantisce i diritti inviolabili
dell'uomo, sia come singolo sia
nelle formazioni sociali ove si
svolge la sua personalit e richiede
l'adempimento dei doveri
inderogabili di solidariet politica,
economica e sociale.
Il nostro codice civile (approvato con r.d. 16 marzo 1942 n.262) non
aveva previsto alcuna norma in tema di trattamento dei dati personali.
La riservatezza dellindividuo non godeva di una specifica protezione.
Pertanto non veniva tutelata
I giudici chiamati a pronunciarsi in merito allesistenza di un diritto ad

un risarcimento, rispetto a lamentate violazioni della riservatezza,
poich essa non godeva di una specifica protezione, concludevano
che non poteva affermarsi alcun diritto al risarcimento del danno .
Lemersione di un diritto soggettivo al controllo sulle informazioni,

riguardanti s medesimo, ma detenute da altri, si avuto con
lapprovazione della legge 31 /12 /96 n.675.
Tale disposizione (meglio nota come legge sulla privacy) stata

introdotta nel nostro sistema giuridico in attuazione di una Direttiva
comunitaria (la Dir. 95/46 del 24 ottobre 1995)
In Italia si quindi dovuto attendere il 1996 per avere una
normativa che si occupasse del trattamento dei dati personali con
la Legge 675.
Questa esigenza di riservatezza , mutevole nel tempo , aumenta in
modo direttamente proporzionale alla diffusione dei computer ed
alla necessit di limitare laccesso indiscriminato alle banche dati
in essi contenute.
Ci ha provocato ladeguamento della normativa relativa.
Cos Il 30 giugno 2003 viene approvato il decreto legislativo n. 196,
recante il Codice in materia di protezione dei dati personali
Da esso emerge con chiarezza il ruolo centrale assunto dal
consenso del titolare dei dati e il carattere sanzionatorio della
norma in caso di violazioni delle disposizioni in esso contenute.
Si codifica che il trattamento dei dati personali integra un valore
immanente a qualsiasi attivit pubblica e nellart. 11, comma 2 si
precisa che: i dati personali trattati in violazione della disciplina
rilevante in materia di trattamento dei dati personali, non possono
essere utilizzati.
Il rispetto delle forme dellazione dellamministrazione
costituisce un elemento essenziale nella valutazione dei
comportamenti degli apparati pubblici essendo
prioritaria rispetto alle valutazioni sul merito.
Quindi
Unattivit -seppur meritoria ed opportuna -pu essere

censurata, in quanto realizzata in virt di un trattamento
illecito dei dati. ( Es. lesclusione dalle graduatorie per la L.104)
Costituzione Italiana, artt. 2 , 3 e 13
Art. 2
La Repubblica riconosce e garantisce i diritti inviolabili dell'uomo, sia come
singolo, sia nelle formazioni sociali ove si svolge la sua personalit, e richiede
l'adempimento dei doveri inderogabili di solidariet politica, economica e sociale.
Art. 3
Tutti i cittadini hanno pari dignit sociale e sono eguali davanti alla legge, senza
distinzione di sesso, di razza, di lingua, di religione, di opinioni politiche, di condizioni
personali e sociali.
compito della Repubblica rimuovere gli ostacoli di ordine economico e sociale,
che, limitando di fatto la libert e la uguaglianza dei cittadini, impediscono il pieno
sviluppo della persona umana e l'effettiva partecipazione di tutti i lavoratori
all'organizzazione politica, economica e sociale del Paese.
Art. 13
La libert personale inviolabile
(art.1) Chiunque ha diritto alla protezione dei dati

personali che lo riguardano
(art.2)Il presente testo unico, di seguito denominato "codice",

garantisce che il trattamento dei dati personali si svolga nel
rispetto dei diritti e delle libert fondamentali, nonch della
dignit dell'interessato, con particolare riferimento alla
riservatezza, all'identit personale e al diritto alla protezione dei
dati personali
Art. 1. Oggetto del regolamento
1. Il presente regolamento, identifica nelle schede allegate, le tipologie
di dati sensibili e giudiziari e di operazioni indispensabili per la gestione
del sistema dell'istruzione, nel perseguimento delle finalit di rilevante
interesse pubblico individuate dal codice e dalle specifiche previsioni di
legge.
Si tratta di Atti di Indirizzo , Interpretazioni del Garante
della Privacy su specifici argomenti e in specifici settori.
Es. come comportarsi con i temi a scuola ,o come
conciliare la trasparenza nel sito della scuola col
rispetto della privacy
Lattivit di una qualsiasi amministrazione
pubblica, comporta, inevitabilmente,
lelaborazione di una pluralit di informazioni
Tali informazioni sono, nella maggior parte dei

casi, assunte mediante strumenti cartacei e
successivamente rielaborate mediante strumenti
elettronici
Perseguiti dallamministrazione scolastica implica
lacquisizione di dati concernenti :
- i lavoratori impegnati nelle attivit di

istruzione , di amministrazione e di
collaborazione
- i beneficiari delle prestazioni : gli studenti le

proprie famiglie, i fornitori di beni e servizi.
delle informazioni ricevute per fini
istituzionali ,devono perci avvenire:
- Nel rispetto delle norme e dei valori assunti dal

nostro sistema
- Con la possibilit di controllare la circolazione delle

informazioni di cui si viene in possesso.
Qualunque trattamento di dati personali da parte di soggetti
pubblici consentito soltanto per lo svolgimento
delle funzioni istituzionali.
Nel trattare i dati il soggetto pubblico osserva i presupposti e i
limiti stabiliti dal codice, anche in relazione alla diversa natura
dei dati, nonch dalla legge e dai regolamenti.
..
Il trattamento dei dati sensibili da parte di soggetti pubblici
Consentito solo se autorizzato da espressa disposizione di legge
Art. 15
Danni cagionati per effetto del trattamento
1.Chiunque cagiona danno ad altri per effetto del trattamento di dati
personali tenuto al risarcimento ai sensi dell'articolo 2050 del
codice civile.
2.Il danno non patrimoniale risarcibile anche in caso di violazione
dellarticolo 11.
Art. 11. Modalit del trattamento e requisiti dei dati
1. I dati personali oggetto di trattamento sono:
a) trattati in modo lecito e secondo correttezza;b) raccolti e registrati per scopi
determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento
intermini compatibili con tali scopi; c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle finalit per le quali
sono raccolti o successivamente trattati;e) conservati in una forma che
consenta lidentificazione dellinteressato per un periodo di tempo non
superiore a quello necessario agli scopi per i quali essi sono stati raccolti o
successivamente trattati.
2. I dati personali trattati in violazione della disciplina rilevante in materia
di trattamento dei dati personali non possono essere utilizzati.
Il trattamento dei dati viene qualificato come esercizio di attivit
pericolosa (art. 2050 c.c.)
QUINDI
Vale il
principio dellinversione dellonere della prova.
Attenzione:
laver adottato le misure minime evita sanzioni amministrative o
penali, ma non esime da un eventuale risarcimento danni !!!
Alcuni consigli
Massima discrezione
Pochi scambi informativi tra colleghi.
Nessuno scambio informativo con lesterno
reati non informatici
il ricorso alla tecnologia informatica non
determinante per il
compimento dell'atto.
Alcuni esempi:
ingiuria;
diffamazione;
minacce e molestie;
trattamento illecito dei dati personali e violazione
della privacy;
violazione dei diritti d'autore.
reati informatici
ricorso alla tecnologia informatica determinante
per il compimento
dell'atto.
Alcuni esempi:
accesso abusivo ad un sistema informatico e
telematico,
diffusione di programmi diretti a danneggiare o
interrompere un sistema;
danneggiamento informatico,
detenzione abusiva di codici di accesso a sistemi
informatici o telematici;
frode informatica.
SANZIONI AMMINISTRATIVE
Art. 161 Informativa all'interessato omessa o non

idonea: da 3.000 a 18.000 (da 5.000 a 30.000 nei
casi di dati sensibili o giudiziari), (e fino al triplo)
Omessa informativa per dati sensibili o giudiziari o in
caso di trattamenti che presentano rischi specifici o
di maggiore rilevanza o di pregiudizio Sanzione da
5.000 a 30.000
Art. 162. Altre fattispecie
1. La cessione dei dati in violazione di quanto
previsto dall'articolo 16, comma 1, lettera b), o di
altre disposizioni in materia di disciplina del
trattamento dei dati personali punita con la
sanzione amministrativa del pagamento di una
somma da cinquemila euro a trentamila euro.
2. La violazione della disposizione di cui all'articolo
84, comma 1, punita con la sanzione
amministrativa del pagamento di una somma da
cinquecento euro a tremila euro.
Art. 163. Omessa o incompleta notificazione
1. Chiunque, essendovi tenuto, non provvede
tempestivamente alla notificazione ai sensi degli
articoli 37 e 38, ovvero indica in essa notizie
incomplete, punito con la sanzione amministrativa
del pagamento di una somma da diecimila euro a
sessantamila euro e con la sanzione amministrativa
accessoria della pubblicazione dell'ordinanza-
ingiunzione, per intero o per estratto, in uno o pi
giornali indicati nel provvedimento che la applica.
Art 164 Omessa informazione o omessa esibizione dei
documenti richiesti dal Garante: da 4.000 a 24.000 .
SANZIONI PENALI
Art 167 Trattamento illecito di dati personali: reclusione da 6
mesi a 3 anni.
Art 168 False dichiarazioni o comunicazioni al Garante:
reclusione da 6 mesi a 3 anni.
Art 169 Omessa adozione misure minime di sicurezza: arresto
fino a 2 anni o sanzione amministrativa, pagamento di una
somma da 10.000 a 50.000 .
Art 170 Inosservanza dei provvedimenti del Garante:
reclusione da 3 mesi a 2 anni.
Art. 4-Definizioni
Art. 5-Oggetto e ambito di applicazione
Artt. 28-30-Soggetti che effettuano il trattamento
Artt. 33-35-Misure minime di sicurezza - Disciplinare
tecnico allegato B
Artt. 95-96 Istruzione
Artt. 161,167,169,170-Sanzioni
Cos il Trattamento dei dati
Art. 4. Definizioni
1. Ai fini del presente codice si intende per:
a) "trattamento", qualunque operazione o complesso
di operazioni, effettuati anche senza l'ausilio di
strumenti elettronici, concernenti la raccolta, la
registrazione, l'organizzazione, la conservazione, la
consultazione, l'elaborazione, la modifica, la
selezione, l'estrazione, il raffronto, l'utilizzo,
l'interconnessione, il blocco, la comunicazione, la
diffusione, la cancellazione e la distruzione di dati,
anche se non registrati in una banca di dati;
I profili oggettivi:
i dati.ai sensi dellart.4 del Codice

i dati oggetto di trattamento si distinguono in
sensibili
giudiziari
personali
identificativi
I dati costituiscono le informazioni inerenti
individui, persone giuridiche, enti o associazioni,
usualmente utilizzati dallamministrazione per le
funzioni distituto.
La cura delle funzioni istituzionali implica
necessariamente lacquisizione e lelaborazione
di dati, quindi, come gi osservato, si pu
affermare che
non pu curarsi linteresse pubblico senza
trattare dati personali.
I dati personali
Ai sensi dellart.4, comma 1, lett.b) del Codice, integra "dato
personale", qualunque informazione relativa a persona fisica,
persona giuridica, ente associazione, identificati o identificabili,
anche indirettamente, mediante riferimento a qualsiasi altra
informazione, ivi compreso un numero di identificazione
personale. Lett. c) "dati identificativi", i dati personali che
permettono l'identificazione diretta dell'interessato;
Eun dato personale ogni informazione, relativa ad un individuo
o una persona giuridica, ente o associazione che permetta
l'identificazione diretta dell'interessato.
Alla luce di siffatta definizione, evidente che, la maggior
parte delle informazioni attinenti agli individui o alle persone
giuridiche, enti o associazioni, debbano ricondursi nellambito
dei dati personali.
I dati sensibili
Art. 4 lett. d) "dati sensibili", i dati personali
idonei a rivelare l'origine razziale ed etnica, le
convinzioni religiose, filosofiche o di altro
genere, le opinioni politiche, l'adesione a
partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico,
politico o sindacale, nonch i dati personali
idonei a rivelare lo stato di salute e la vita
sessuale;
Il legislatore ha caratterizzato i dati sensibili, identificandoli
come
i dati personali espressivi dei valori qualificanti la personalit dell
individuo o del gruppo.
Non si hanno quindi distinzioni fra individui e collettivit, pi o
meno organizzate: le informazioni inerenti i convincimenti di un
gruppo godono della medesima tutela delle corrispondenti
informazioni relative al singolo.
Linteressato cui si riferiscono le informazioni, pu anche non
prestare alcuna attenzione alla riservatezza delle stesse,
ostentando addirittura i valori in cui si riconosce (si pensi
allesibizione di una spilla raffigurante un logo sindacale o
politico), ma non per questo lamministrazione pu esautorare
la normativa esistente per i dati sensibili.
Il dato conserva la sua qualit a prescindere dalla
sua conoscibilit per fatto dellinteressato.
Anche linattualit del dato non incide sulle condizioni
del trattamento. Si pensi allappartenenza ad
unorganizzazione sindacale di un lavoratore che si
sia, successivamente, dissociato dalla linea
dellorganizzazione, ma non abbia informato
lamministrazione.
Lapparato pubblico comunque tenuto a
proteggere il dato sensibile, anche qualora il
lavoratore non condivida pi i valori insiti nel dato
stesso
Sul punto si pronunciato il Garante per la protezione dei
dati personali, con riferimento alleriprese video ed alle
fotografie raccolte dai genitori, durante recite e saggi
scolastici.
Il Garante ha espressamente sancito che le riprese,
sebbene possano avere ad oggetto minori con disabilit
fisiche, non violano la privacy ,in quanto non destinate
a diffusione, ma raccolte per fini personali e destinate ad
un ambito familiare o amicale.
Garante per la protezione dei dati personali, Newsletters
dell8-21 dicembre
Dalla pronuncia, per converso, si deduce che le
suddette immagini, qualora fossero raccolte
dallistituzione scolastica, per fini promozionali
(archiviazione nel sito istituzionale) o commerciali
(vendita delle videocassette relative alle stesse
recite, ovvero produzione e vendita di calendari
con le immagini delle classi), coinvolgendo minori e
raffigurando, eventualmente, anche portatori di
disabilit varie, dovrebbero essere precluse, in
quanto non afferenti allofferta formativa.
I dati giudiziari
Lart.4, comma 1, lett. e) del Codice, qualifica come
dati giudiziari, i dati personali idonei a rivelare
provvedimenti di cui all'articolo 3, comma 1, lettere
da a) a o) e da r) a u), del D.P.R. 14 novembre 2002,
n. 313, in materia di casellario giudiziale, di anagrafe
delle sanzioni amministrative dipendenti da reato e
dei relativi carichi pendenti, o la qualit di imputato
o di indagato ai sensi degli articoli 60 e 61 del
codice di procedura penale.
Tale definizione circoscrive le informazioni da
assoggettarsi alla pi stringente disciplina dei dati
giudiziari.
LINTERESSATO O LA PERSONA PRESSO LA
QUALE SONO RACCOLTI I DATI PERSONALI
SONO PREVIAMENTE INFORMATI ORALMENTE
O PER ISCRITTO.
I dati dellinteressato possono essere usati a
seconda dei vari casi con o senza il suo
consenso
Consenso(Art. 23)
1. ammesso solo con il consenso espresso
2. Il consenso validamente prestato solo
1. se espresso liberamente
2. se documentato per iscritto
3. se sono state rese all'interessato le
informazioni di cui all'articolo 13.
3. in forma scritta quando il trattamento
riguarda dati sensibili (e ricordarsi che occorre la
notifica!!!)
Il consenso non sempre necessario
In alcuni casi il
trattamento pu
essere effettuato
senza il consenso
degli interessati.
45
Il consenso non
necessario se
I dati sono stati raccolti e sono conservati perch
cos prescrive la legge o un regolamento o una
norma comunitaria.
46
Il consenso non
necessario
Quando il trattamento
necessario per adempiere a
specifici obblighi o compiti previsti
dalla legge, da un regolamento o
dalla normativa comunitaria per la
gestione del rapporto di lavoro,
anche in materia di igiene e
sicurezza del lavoro e della
popolazione e di previdenza e
assistenza.
47
Il consenso non
necessario se
Il trattamento di
dati necessario
per adempiere
agli obblighi
previsti da un
contratto.
48
Il consenso non
necessario se
I dati sono ricavati da pubblici
registri, atti o documenti che
chiunque pu conoscere.
49
Linformativa
In tutti gli altri casi si deve
informare linteressato dei
trattamenti che si vogliono
effettuare con una
informativa.
50
Nellinformativa necessario specificare
Quali sono gli scopi e le

modalit del trattamento
Se l'interessato obbligato o
no a fornire i dati
Quali sono le conseguenze
se i dati non vengono forniti
51
I soggetti o le categorie di
soggetti ai quali i dati
personali possono essere
comunicati o che possono
venirne a conoscenza in
qualit di responsabili o
incaricati, e l'ambito di
diffusione dei dati
medesimi
52
Quali sono i diritti riconosciuti all'interessato
53
Se i dati sono presso

l'interessato,
oppure presso terzi
54
Chi sono il titolare e il
responsabile del trattamento e
dove sono raggiungibili informativa
(indirizzo, telefono, fax ecc.).
Se il titolare ha designato pi
responsabili indicato
almeno uno di essi, indicando il
sito della rete di
comunicazione o le modalit
attraverso le quali
conoscibile in modo agevole
lelenco aggiornato dei
responsabili.
55
I diritti dellinteressato
Previsti dallart. 7
e le modalit di ricorso al
Garante in caso di
Trattamento dei dati
contrastante
Con la norma vigente
56
La legge sulla privacy riconosce
all'interessato alcuni importanti diritti nel
trattamento dei propri dati personali
Definizione di Interessato
Linteressato la persona fisica, la persona
giuridica, l'ente o l'associazione cui si riferiscono i
dati personali
58
Il diritto di accessoai propri dati
Il diritto di accesso ai propri dati personali
direttamente presso chi li detiene (titolare del
trattamento) - ossia il diritto di ottenere la
conferma della loro esistenza e la loro
comunicazione e di sapere da dove sono stati
acquisiti e quali sono i criteri e gli scopi del
trattamento, in questo caso il titolare pu
chiedere il pagamento di una somma
("contributo spese") se non detiene dati
dell'interessato.
59
Il diritto di ottenere la cancellazione
o il blocco
Il diritto di ottenere la
cancellazione o il blocco di dati
che sono trattati violando la legge
(ad esempio, perch non stato
chiesto il consenso). Tali diritti
possono essere esercitati anche
quando non ci sono pi motivi
validi per conservare i dati
60
Il diritto di aggiornare i
dati inesatti
Il diritto di aggiornare,
correggere o integrare i dati
inesatti e incompleti.
61
Il diritto di opporsi
al trattamento dei
propri dati
Il diritto di opporsi, per motivi

legittimi, al trattamento dei propri
dati.
62
Il diritto di opporsi al trattamento dei
propri dati per scopi commerciali
Il diritto di opporsi al trattamento dei propri dati

per scopi di informazione commerciale o per
l'invio di materiale pubblicitario o di vendita
diretta, oppure per ricerche di mercato
63
ll Titolare
Il Responsabile
Lincaricato
Il Garante
Il RESPONSABILE del Sistema informativo
( d.lgs. 39/93 Norme in materia di sistemi informativi automatizzati delle
PA )
IL TITOLARE
Lart.4, comma 1, lett. f) del Codice delinea la

figura del titolaredel trattamento quale:
la persona fisica, la persona giuridica, la
pubblica amministrazione e qualsiasi altro ente,
associazione od organismo cui competono,
anche unitamente ad altro titolare, le decisioni in
ordine alle finalit, alle modalit del trattamento
di dati personali e agli strumenti utilizzati, ivi
compreso il profilo della sicurezza.
Lart.29, comma 5 del Codice che, al fine di
precisare i rapporti fra titolare e responsabile del
trattamento, dispone che:
il responsabile effettua il trattamento
attenendosi alle istruzioni impartite dal titolare il
quale, anche tramite verifiche periodiche, vigila
sulla puntuale osservanza delle disposizioni e
delle proprie istruzioni.
Da ci si evince che:
il titolare deve impartire istruzioni
il medesimo deve procedere a verifiche
periodiche al fine di assicurare il rispetto delle
prescrizioni dirette a disciplinare il trattamento
dei dati
Il titolare l'entit nel suo complesso (ad
esempio, la societ, il ministero, l'ente pubblico,
ecc..) taluna delle persone fisiche che operano
nella relativa struttura e che concorrono, in
concreto, ad esprimerne la volont o che sono
legittimati a manifestarla all'esterno (ad
esempio, l'amministratore delegato, il ministro, il
direttore generale, il presidente, il legale
rappresentante, ecc.).
Lintestazione della qualit di titolare del
trattamento dei dati personali in capo
allistituzione scolastica, allAmbito Terr., allUSR,
al Dipartimento ministeriale, implica che le
attivit connesse a tale ruolo(ossia ladozione di
istruzioni e la vigilanza) debbano essere
esercitate da chi legittimato a manifestare la
volont dellistituzione scolastica, ossia,
rispettivamente, il Dirigente scolastico, il Dirigente
dellAmbito Territoriale, il Direttore regionale, il
Capo Dipartimento.
Tali soggetti dovranno quindi attivarsi
per garantire il rispetto delle prescrizioni
vigenti, assumendosi altres le (proprie)
responsabilit rispetto a comportamenti
omissivi e/o negligenti.

Il responsabile del trattamento
Lart.4, comma 1, lett. g) del Codice, precisa

che per responsabile del trattamento", deve
intendersi la persona fisica, la persona
giuridica, la pubblica amministrazione e
qualsiasi altro ente, associazione od organismo
preposti dal titolare al trattamento di dati
personali.
Il responsabile designato dal titolare
facoltativamente.
Se designato, il responsabile individuato tra
soggetti che per esperienza, capacit ed affidabilit
forniscano idonea garanzia del pieno rispetto delle
vigenti disposizioni in materia di trattamento, ivi
compreso il profilo relativo alla sicurezza.
Ove necessario per esigenze organizzative, possono
essere designati responsabili pi soggetti, anche
mediante suddivisione di compiti.
I compiti affidati al responsabile sono
analiticamente specificati per iscritto dal titolare
Tali disposizioni inducono a ritenere che:
ove si ha un trattamento dei dati, mentre

sempre individuabile un titolare, non
necessariamente si ha un responsabile
la designazione del responsabile deve essere

formalizzata(atto del preporre)
Lindividuazione del responsabile, presso gli
apparati scolastici, integra una valutazione del
Dirigente scolastico, fondata sullesame delle
funzioni espletate dal personale in servizio presso
listituzione.
Direttore dei Servizi Generali Amministrativi
(D.S.G.A.) lattribuzione al medesimo della
qualit di responsabile del trattamento, appare
come ipotesi pi accreditata.
Lincaricato del trattamento
Ai sensi dellart.4, comma 1, lett. h) del Codice, possono
qualificarsi come "incaricati", solo le persone fisiche autorizzate
a compiere operazioni di trattamento dei dati dal titolare o dal
responsabile.
Lart.30 del Codice, a sua volta, precisa che: Le operazioni di
trattamento possono essere effettuate solo da incaricati che
operano sotto la diretta autorit del titolare o del responsabile,
attenendosi alle istruzioni impartite
La designazione effettuata per iscritto e individua
puntualmente l'ambito del trattamento consentito. Si considera
tale anche la documentata preposizione della persona fisica
ad una unit per la quale individuato, per iscritto, l'ambito del
trattamento consentito agli addetti all'unit medesima
Da tali definizioni si evince che: ove si ha un
trattamento dei dati, mentre sempre
individuabile un titolare, non necessariamente si
ha un incaricato
Lincaricato deve essere designato o dal
responsabile o dal titolare del trattamento
La designazione non necessariamente
nominativa potendosi procedere ad una
designazione impersonale, ossia nei confronti di
tutti gli addetti ad ununit
Lindividuazione degli incaricati
costituisce una scelta ponderata
sulla base dei compiti e della
collocazione nella struttura, di
competenza del titolare e/o del
responsabile.
Laffermazione contenuta nella Direttiva PCM-
DFP n.1 del 2005, secondo cui gli incaricati
sarebbero i soli che possono materialmente
effettuare le operazioni di trattamento di dati
personali, deve essere interpretata nel senso
che .
. oltre al titolare ed al responsabile, gli
incaricati sono gli unici soggetti legittimati a
trattare dati personali allinterno degli apparati
pubblici.
Il Codice ammette di qualificare come
incaricati tutti gli addetti impegnati
presso una certa struttura
(es.: la segreteria dellistituto, ovvero
lufficio relativo al personale o la
ragioneria ..)
Il personale docente tratta dati dellalunno
( registro di classe , del prof., scheda alunno,
notizie dellalunno diversamente abile , gli
elaborati)
Pertanto il docente viene incaricato del
trattamento dei dati
Gli incaricati dovranno attenersi alle misure di
sicurezza previste dal codice ed alle ulteriori
direttive ed istruzioni adottate dallIstituzione
Scolastica, in armonia con quanto previsto nel
DPS(Documento Programmatico sulla Sicurezza)
IL GARANTE - www.garanteprivacy.it
1. Opera in piena autonomia e con indipendenza
2. E organo collegiale costituito da quattro componenti esperti
di riconosciuta competenza delle materie del diritto o
dell'informatica,
3. I componenti eleggono nel loro ambito un presidente,
4. Il presidente e i componenti durano in carica quattro anni e
non possono essere confermati per pi di una volta;
5. il presidente e i componenti non possono esercitare, a pena
di decadenza, alcuna attivit professionale o di consulenza, n
essere amministratori o dipendenti di enti pubblici o privati, n
ricoprire cariche elettive.
RESPONSABILE del Sistema informativo
dlgs 39/93 Norme in materia di sistemi informativi
automatizzati delle PA
E il referente cui compete la pianificazione degli
interventi di automazione e lindividuazione delle
misure di sicurezza informatica
L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle
caratteristiche di esperienza, capacit e affidabilit del soggetto designato, il quale deve fornire idonea
garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo
relativo alla sicurezza.
Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una
designazione quale incaricato del trattamento ai sensi dell'art. 30 del Codice, il titolare e il responsabile
devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei
responsabili ai sensi dell'art. 29.
Gli Incarichi
LINEE GUIDA IN MATERIA DI SICUREZZA PER IL DOCENTE INCARICATO
DEL TRATTAMENTO
Vengono di seguito indicate le misure operative da adottare per

garantire la sicurezza dei dati personali e, in particolare, dei dati
sensibili e giudiziari:
- Custodire in apposito armadio dotato di serratura nella stanza
individuata come sala professori delledificio i seguenti documenti:
1-Registro personale
2-Certificati medici esibiti dagli alunni a giustificazione delle assenze
3-Qualunque altro documento contenente dati personali o sensibili
degli alunni
Verificare la corretta funzionalit dei meccanismi di chiusura
dellarmadio, segnalando tempestivamente al responsabile di sede
eventuali anomalie.
- Consegnare il registro di classe al collaboratore scolastico incaricato,
al termine delle attivit didattiche giornaliere, per la sua custodia in
apposito armadio dotato di serratura nella stanza individuata come
sala professori delledificio.
- Seguire le istruzioni del docente responsabile dellaula di informatica.
- Seguire le istruzioni del docente responsabile di sede nel caso di
trattamento dei dati personali per fini diversi da quelli relativi ai punti 1
e 2.
- Tutte le comunicazioni indirizzate agli uffici della sede centrale, ad
altro personale della scuola e al dirigente scolastico debbono essere
consegnate in busta chiusa al responsabile di sede o al protocollo
della sede centrale. Non consentito, se non espressamente
autorizzato, lutilizzo del fax, della posta elettronica e dei collegamenti
alla rete internet per il trattamento dei dati personali.
Per i docenti che utilizzano laula di informatica (nel caso di
trattamento di dati personali) e per il responsabile dellaula di
informatica:
Seguire le seguenti istruzioni operative per lutilizzo dei personal
computers :
Non lasciare floppy disk, cartelle o altri documenti a
disposizione di estranei;
Non consentire laccesso ai dati a soggetti non autorizzati;
Riporre i supporti in modo ordinato negli appositi contenitori e
chiudere a chiave classificatori e armadi dove sono custoditi;
Scegliere una password con le seguenti
caratteristiche:
originale
composta da otto caratteri
che contenga almeno un numero
che non sia facilmente intuibile, evitando il nome
proprio, il nome di congiunti, date di nascita e
comunque riferimenti alla propria persona o lavoro
facilmente ricostruibili
curare la conservazione della propria password ed
evitare di comunicarla ad altri;
cambiare periodicamente (almeno una volta ogni
tre mesi) la propria password;
modificare prontamente (ove possibile) la password
assegnata dal custode delle credenziali;
trascrivere su un biglietto chiuso in busta sigillata e
controfirmata la nuova password e consegnarla al
custode delle credenziali;
spegnere correttamente il computer al termine di
ogni sessione di lavoro;
non abbandonare la propria postazione di lavoro
senza aver spento la postazione di lavoro o aver
inserito uno screen saver con password;
comunicare tempestivamente al Titolare o al
Responsabile qualunque anomalia riscontrata nel
funzionamento del computer;
utilizzare le seguenti regole per la posta
elettronica:
non aprire documenti di cui non sia certa la
provenienza
non aprire direttamente gli allegati ma salvarli su
disco e controllarne il contenuto con un antivirus
controllare accuratamente lindirizzo dei
destinatario prima di inviare dati personali
DIRIGENTE SCOLASTICO
Consiglio distituto Direttore amministrativo

Docenti
Collaboratori
Docenti Assistenti Amministrativi Collaboratori Scolastici
91
Direttore amministrativo
Contabilit
Area personale
Area didattica
Area affari generali
92
Le aree di
trattamento
Didattica
Dati relativi agli alunni
Personale
Gestione del personale
Contabilit
Stipendi
Archivi relativi ai fornitori
Affari generali
Protocollo
Archivio
Rapporti con enti e
imprese
93
Area didattica / Dati relativi agli alunni
Cartaceo DATI PERSONALI
Fascicolo personale
Curriculum studi
Dati personali
Dati dei genitori
Fotografia
Registro iscrizioni
Registro tasse scolastiche
Registro certificati
Registro diplomi
94
Cartaceo DATI SENSIBILI
Cittadinanza
Convinzione religiosa
Stato di salute
Situazione di handicap
Vaccinazioni
Art.22 comma 7: i dati relativi allo stato di

salute sono conservati separatamente da
altri dati personali
95
Cartaceo COMUNICAZIONE dati personali
Elenchi di classe
Elenchi elettorali
Registri di classe
Registro del professore
Registro dei consigli di classe
Registro dei voti
Registro esiti esami e idoneit
96
Cartaceo COMUNICAZIONE dati personali
Invio registri Ambito Territoriale

Pratica Infortuni (INAIL Assicurazione Pubblica Sicurezza)
Pratiche Viaggi istruzione (passaporto collettivo visto)
Documentazione viaggi studio (foto + dati personali)
97
Cartaceo COMUNICAZIONE dati sensibili
Diagnosi Funzionale > Docenti Gruppo Handicap
Stato di salute > Personale di mensa

Docenti Ed.Fisica
Convinzioni religiose > Docenti Consiglio Classe

Docenti mensa
98
Cartaceo DIFFUSIONE DATI
Finalit Istituzionali > elenchi di classe

> esiti scrutini ed esami
Finalit non Istituzionali > privati
N.B.= Art. 96 si possono diffondere solo su richiesta degli

interessati
99
CUSTODIA
Archivio > presso lufficio didattica
Archivio > luogo dove si conservano i dati
Dati informatici backup (disco da conservare in cassaforte)
100
SOGGETTI COINVOLTI
Dirigente Scolastico
Collaboratori del D.S.
Direttore SGA
Assistenti Amministrativi Area Didattica
Docenti
Tecnici informatica ( password chiave dingresso dati)
Collaboratori Scolastici
101
Area personale / Gestione del personale
Cartaceo DATI PERSONALI
Fascicolo personale
Dati personali
Dati dei familiari
Servizio prestato
Curricolo studi
Aggiornamento e Formazione
102
Cartaceo DATI SENSIBILI
Cittadinanza
Convinzione religiosa
Iscrizione sindacati
Stato di salute
Situazione di handicap
Situazioni familiari
Procedimenti disciplinari
Art.22 comma 7: i dati relativi allo stato di salute sono conservati separatamente da
altri dati personali
103
Cartaceo Elenchi del personale

Elenchi elettorali
Registro dei consigli di classe
Registro dei voti
COMUNICAZIONE dati personali
Registro esiti esami e idoneit
Pratiche viaggi istruzione
Invio dati al CSA
INPS
INPDAP
Servizi Vari (MEF)
Ragioneria (MEF)
Altre scuole
104
Cartaceo COMUNICAZIONE dati sensibili
Pratica infortuni > INAIL Assicurazione

Pubbl. Sicurezza
Stato di salute > Personale di Mensa

ASL per accertamenti
Convinzioni religiose > Dirigente Scolastico

(orario/altro)
Mensa
105
Cartaceo DIFFUSIONE DATI
Organigramma nominativo
Graduatorie
Finalit istituzionali Piano lavoro personale ATA
Contratti
Nomine / Incarichi nominativi
Finalit non Istituzionali > privati

N.B.= Art.96 si possono diffondere solo su richiesta degli interessati
106
CUSTODIA
Archivio > presso lufficio del personale
107
SOGGETTI COINVOLTI
Direttore SGA
Assistenti Amministrativi Area Personale
108
Area Contabilit / Stipendi
DATI PERSONALE
Dati personali
Dati nucleo familiare
Situazioni stipendiali
Ritenuta sindacale
Esistenza particolari situazioni
(pignoramenti, assegni
mantenimento, cessioni
ecc)
Cedola stipendi e accessori
Registro stipendi
109
Area Contabilit / Stipendi
Cartaceo COMUNICAZIONE dati personale
INPS ex INPDAP
SERVIZI VARI (MEF)
RAGIONERIA (MEF)
Altre scuole
110
Area Contabilit
Area affari generali
Protocollo, archivio, rapporti con enti e imprese.
ALTRI DATI TRATTATI
Anagrafe prestazioni (personale interno ed esterno)

Contratti o convenzioni con soggetti esterni
Elenco fornitori
111
Area Contabilit / Stipendi & Archivi relativi ai fornitori
CUSTODIA
Archivio > presso lufficio amministrativo
112
Area Contabilit / Stipendi & Archivi relativi ai fornitori
SOGGETTI COINVOLTI
Direttore SGA
Assistenti Amministrativi Area Amministrativa e Affari Generali
Assistenti Tecnici
113
Privacy ed accesso ai
documenti
Lart. 24 c.3 della legge 241/90 stato integrato
dallart. 176 del Codice il quale prevede che dopo le
parole mediante strumenti Informatici sono inserite
le seguenti fuori dei casi di accesso a dati
personali da parte della persona a cui i dati si
riferiscono
114
Art. 59
Fatto salvo quanto previsto dall'articolo 60, i
presupposti, le modalit, i limiti per l'esercizio del diritto
di accesso a documenti amministrativi contenenti
dati personali, e la relativa tutela giurisdizionale,
restano disciplinati dalla legge 7 agosto 1990, n. 241,
e successive modificazioni e dalle altre disposizioni di
legge in materia, nonch dai relativi regolamenti di
attuazione, anche per ci che concerne i tipi di dati
sensibili e giudiziari e le operazioni di trattamento
eseguibili in esecuzione di una richiesta di accesso. Le
attivit finalizzate all'applicazione di tale disciplina si
considerano di rilevante interesse pubblico.
115
Art. 60
Quando il trattamento concerne dati idonei a
rivelare lo stato di salute o la vita sessuale, il
trattamento consentito se la situazione
giuridicamente rilevante che si intende tutelare
con la richiesta di accesso ai documenti
amministrativi di rango almeno pari ai diritti
dell'interessato, ovvero consiste in un diritto della
personalit o in un altro diritto o libert
fondamentale e inviolabile.
116
Art. 67
1. Si considerano di rilevante interesse pubblico, ai
sensi degli articoli 20 e 21, le finalit di:
a) verifica della legittimit, del buon andamento,
dell'imparzialit dell'attivit amministrativa, nonch
della rispondenza di detta attivit a requisiti di
razionalit, economicit, efficienza ed efficacia per
le quali sono, comunque, attribuite dalla legge a
soggetti pubblici funzioni di controllo, di riscontro ed
ispettive nei confronti di altri soggetti;
b) accertamento, nei limiti delle finalit istituzionali,
con riferimento a dati sensibili e giudiziari relativi ad
esposti e petizioni, ovvero ad atti di controllo o di
sindacato ispettivo di cui all'articolo 65, comma 4.
Revisori dei conti
117
Art. 68
Si considerano di rilevante interesse pubblico, ai
sensi degli articoli 20 e 21, le finalit di applicazione
della disciplina in materia di concessione,
liquidazione, modifica e revoca di benefici
economici, agevolazioni, elargizioni, altri
emolumenti e abilitazioni.
2. Si intendono ricompresi fra i trattamenti regolati
dal presente articolo anche quelli indispensabili in
relazione:
a) alle comunicazioni, certificazioni ed informazioni
previste dalla normativa antimafia..
118
Richiesta di informazioni del genitore
Non chiudere la porta alla famiglia;
Mediazione 1: chiacchierata informale e generica
con il genitore,utile per apprendere elementi
sufficienti per esercitare la sua funzione;
Mediazione 2: dirottare la richiesta su un docente
particolarmente stimato dallalunno e dalla famiglia;
Mediazione 3: attenuare il contrasto utilizzando
equilibrio e diplomazia, evidenziando la situazione
dellalunno e il contestuale diritto del genitore
obbligato al mantenimento.
Richiesta di accesso del genitore
Occorre richiesta formale di accesso motivata (interesse
concreto ed effettivo); notifica al controinteressato
(completezza del contraddittorio in un giudizio di accesso
coinvolgente la riservatezza di terzi giur. non univoca sul
carattere impugnatorio del giudizio)
Operare sempre bilanciamento degli interessi;
Allobbligo di mantenimento collegato il diritto di
conoscere il comportamento del figlio in ordine alle materie
oggetto della prestazione (mantenimento, educazione,
istruzione). Il genitore agisce anche per ottemperare al suo
dovere di garantire unadeguata istruzione al figlio
Lobbligo di mantenimento si affievolisce in caso di
comprovato atteggiamento di inerzia del maggiorenne (TAR
Bari Sez. Prima sentenza n2782/2003)
Visita ispettiva -Segnalazione dei genitori
La difesa degli interessi incisi dallattivit amministrativa non

pu prescindere dalla conoscenza anche degli atti dei terzi
che ne hanno costituito il presupposto (cfr. C.d.S., Sez. VI,
22.1.2001)
TAR Piemonte (Sentenza n716, del 18 novembre 1999):
accesso integrale agli atti del procedimento disponendo
loscuramento dei nominativi dei genitori;
La disposizione presa in chiave di bilanciamento degli
interessi;
Tutelare coloro che hanno sollecitato, con il proprio esposto,
lazione repressiva o ispettiva, onde evitare possibili
comportamenti ritorsivi (TAR Lombardia - Milano, Sez IV
dell08-11-2004, n5716)
Richiesta di accesso ai registri scolastici
La conoscenza dei documenti necessaria
per curare o difendere i propri interessi
giuridici;
La richiesta va sempre adeguatamente
motivata;
Giurisprudenza prevalente (si veda ad
esempio TAR Toscana 6266/2004): la visione
dei soli dati dellalunno consente di tutelare
adeguatamente gli interessi dello stesso;
Dati relativi agli altri alunni della classe -1
La conoscenza di tali dati esula dall'interesse
personale dei ricorrenti;
Ingerenza nella sfera di riservatezza di altri soggetti;
Non ammissibile unanalisi comparativa
completa circa la valutazione ed i metodi adottati
dai professori con riguardo a tutta la classe (T.A.R
Calabria 2314/2000);
Non ammissibile un generico controllo
dellattivit posta in essere dal corpo insegnante;
Sindacato sugli atti che riguardano gli altri alunni:
astrattamente ammissibile in caso di rilevanti
episodi di disparit di trattamento.
Dati relativi agli altri alunni della classe -2
Nellambito scolastico, non esiste competizione tra gli
alunni; in linea tendenziale, nessuna utilit deriva dalla
comparazione con il profitto scolastico di altri alunni;
E astrattamente ammissibile in sede di giudizio, la
verifica di altre valutazioni, come sintomi di una generale
irregolarit delle procedure eseguite, di fronte ad interessi
di notevole rilevanza giuridica;
Il sindacato si ferma alla verifica delle regole
procedimentali TAR Lombardia (Sentenza 501/2005);
Spetta al Consiglio di Classe giudicare se le lacune di
un alunno siano tali da dover essere ritenute molto gravi.
Si tratta di un apprezzamento discrezionale di carattere
tecnico-didattico sindacabile solo in presenza di
evidenti illogicit.
Accesso agli atti del collegio docenti
Il componente di un organo collegiale
dellAmministrazione ha un qualificato interesse concreto e
diretto a disporre delle copie dei verbali e di ogni altro atto;
in quanto titolare del munus pu disporre di detti atti per
una pi attenta verifica, studio ed approfondimento degli
stessi (Sentenza 3042/2005 del Consiglio di Stato)
La qualit di componente di organi collegiali abilita a
poter disporre di ogni utile risultanza documentale, fatti salvi i
casi di segretazione, elencati allart. 24 della Legge 241/90
Si rivela a volte insufficiente la conoscenza dei contenuti
acquisibile attraverso la pubblicazione degli stessi presso
l'albo (come per i verbali del Consiglio d'Istituto) o la rituale
lettura del verbale relativo alla riunione precedente (come
per i verbali del Collegio docenti).
COSA E' IL DPS
Il DPS un manuale di pianificazione della sicurezza
dei dati in azienda: descrive come si tutelano i dati
personali di dipendenti, collaboratori, clienti, utenti,
fornitori ecc. in ogni fase e ad ogni livello (fisico,
logico, organizzativo) e come si tuteleranno in futuro
(programmazione, implementazione misure,
verifiche, analisi dei risultati ecc.).
SCOPO DEL DPS
descrivere la situazione attuale(analisi dei
rischi,distribuzione dei compiti, misure approntate,
distribuzione delle responsabilit ecc.)
il percorso di adeguamento prescelto dalla struttura
per adeguarsi alla normativa privacy.
il documento deve avere data certa e deve essere
aggiornato annualmente. Il testo unico impone
come data per la redazione e l'aggiornamento il 31
marzo di ogni anno
Una copia del DPS deve essere custodita presso la
sede per essere consultabile e deve essere esibita in
caso di controlli.
Il titolare del trattamento deve dare conto nella
relazione accompagnatoria del bilancio annuale
dell'avvenuta redazione/aggiornamento del DPS.
Per redigere il DPS il dirigente scolastico deve
provvedere:
A nominare uno o pi responsabili;
A nominare gli incaricati;
A disporre affinch si proceda al censimento dei
trattamenti nell'organizzazione per potere effettuare le
notificazioni;
Ad emanare un regolamento sul trattamento, la
comunicazione e la diffusione dei dati;
A predisporre l'informativa;
Ad adottare un piano per aumentare le misure di
sicurezza
IL D.P.S. CONTIENE
Lelenco dei trattamenti dei dati personali
La distribuzione dei compiti e delle responsabilit in
ordine al trattamento
Lanalisi dei rischi che incombono sui dati
Le misure atte a garantire la disponibilit e lintegrit
dei dati ,la protezione delle aree e dei locali
Lelenco dei trattamenti dei dati personali
individuazione delle risorse da proteggere quelle
cio che trattano dati personali e/o sensibili
Luoghi fisici
Risorse hardware
Risorse dati
Risorse software
La distribuzione dei compiti e delle responsabilit
in ordine al trattamento Il responsabile
designato dal titolare facoltativamente
CONTIENE ANCORA
Criteri per il ripristino dei dati in seguito e distruzione o
danneggiamento
Previsione di interventi formativi per gli incaricati
Procedure in caso di affidamento del trattamento
allesterno
Criteri da adottare per la cifratura dei dati sensibili
Lanalisi dei rischi che incombono sui dati
I rischi sono Distruzione o perdita anche accidentale
dei dati
Accesso non autorizzato
Trattamento non consentito o non conforme alle
finalit di raccolta
Le misure atte a garantire la disponibilit e lintegrit
dei dati la protezione delle aree e dei locali
Misure Antintrusione
Contro allagamenti, incendi
Contro il furto o accesso di persone non autorizzate
Contro la cancellazione non autorizzata di dati o la
manomissione
ABOLIZIONE DEL D.P.S.
La conversione del Decreto Legge n. 5 del 9
febbraio 2012 ( c.d. Decreto semplificazioni ),
avvenuta con la Legge 4 aprile 2012 n. 35, conferma
definitivamente la
soppressione dellobbligo in capo a titolari di
trattamento di dati sensibili e giudiziari effettuato
mediante strumenti elettronici di redigere, e quindi
di tenere aggiornato, il DPS.
Cosa succede alla privacy?

Lart. 45 del decreto n. 5/2012, ora convertito in legge, ha infatti
soppresso, oltre la lettera g) al comma 1 dellarticolo 34 del
Codice Privacy (Decreto Legislativo n. 196 del 30 giugno 2003),
anche il comma 1-bis dello stesso articolo introdotto dalla
Legge 6 agosto 2008 n. 133 il quale, oltre a prevedere le
ipotesi che permettevano di redigere una semplice
Autocertificazione in luogo del DPS, reggeva il Provvedimento
del Garante del 27 novembre 2008, disciplinante procedure
semplificate, tra cui la stessa struttura del DPS, per i soggetti
pubblici e privati che trattano dati per finalit amministrativo-
contabile.
Conseguenza di tali soppressioni stato anche il venir meno
del punto 19 dellAllegato B al Codice, riguardante il termine di
redazione e il contenuto del DPS, nonch del successivo punto
26, attinente il riferimento alla redazione del documento
nelleventuale relazione accompagnatoria del bilancio.
Il Decreto Semplifica Italia del febbraio 2012
quindi, con un solo colpo di spugna ha rimosso
tanto ladempimento formale originario quanto i
successivi provvedimenti volti a semplificarlo,
In effetti, londa del cambiamento era gi iniziata
nel corso del 2011 con la citata Legge n. 106 che,
oltre ad introdurre ulteriori norme semplificative in
tema di Autocertificazione (ad oggi, come detto,
abrogate perch non pi necessarie), ha aggiunto
altre ipotesi di esonero dal consenso, anche in tema
di dati sensibili contenuti nei curricula
spontaneamente trasmessi dagli interessati per
linstaurazione di un rapporto di lavoro.
Successivamente, la Legge 22 dicembre 2011, n.
214, ha ulteriormente intaccato la normativa,
togliendo spessore ad alcune definizioni che
rappresentano le colonne portanti del Codice
Privacy: dal concetto di "dato personale" e di
"interessato al trattamento" stato infatti rimosso
ogni riferimento a persone giuridiche, enti e
associazioni: lintento evidenziare che gli unici
soggetti meritevoli di norme miranti alla protezione
di dati personali, a prescindere quindi dalle finalit
del trattamento, sono esclusivamente le persone
fisiche.
Da ultimo, la Legge 35/2012, citata in
premessa, ha concluso lopera non solo
consentendo il trattamento dei dati giudiziari
anche quando effettuato in attuazione di
protocolli di intesa con il Ministero dellInterno
per ragioni di prevenzione e contrasto dei
fenomeni di criminalit organizzata ma
anche, come visto allinizio, abolendo il DPS.
Certo, se pensiamo al solo DPS al di l degli aspetti
formali legati alla sua redazione, ai relativi termini, ai
contenuti prescritti dallAllegato B al Codice, al di l
del peso burocratico presentato a chi era tenuto a
redigerlo potremmo riconoscere che si trattava di
un documento che aveva la sua pratica
importanza, una misura di sicurezza utile, solo per il
fatto di raccogliere insieme diversi aspetti legati alla
protezione dei dati personali, diventando per molti
titolari di trattamento un vero e proprio riferimento,
soprattutto in un mondo sempre pi orientato
allinformatizzazione.
Peraltro, a dispetto di quanto indicato nella relazione
al Decreto Legge 5/2012, che definisce "meramente
superfluo" ladempimento del DPS in quanto "non
realizza uneffettiva tutela della sicurezza dei dati e
dei sistemi informatici", lAutorit Garante, in
occasione del discorso di fine mandato tenuto dal
presidente F. Pizzetti, non ha propriamente condiviso
la decisione di abolirlo, ritenendo invece che tale
documento era utile a limitare in parte leventuale
responsabilit per la perdita, la cancellazione o il
furto dei dati, consentendo di provare che si era fatto
almeno quanto richiesto come misura minima per
evitare il verificarsi dellevento.
PIU' SOSTANZA AI CONTROLLI
Cosa succeder ora in sede di controllo da parte
delle autorit preposte?
Il DPS, effettivamente, aveva senzaltro lo scopo di
illustrare una situazione, in capo al titolare del
trattamento obbligato a redigerlo, riguardante la
tipologia di dati trattati, gli strumenti utilizzati, le
finalit del trattamento nonch lapplicazione delle
misure di sicurezza e protezione in relazione a
determinati rischi; dava unidea dellorganigramma
e della distribuzione dei compiti fra i soggetti
coinvolti, forniva informazioni sui trattamenti affidati
a soggetti esterni e sulla formazione data agli
incaricati.
E se quanto contenuto nel DPS non avesse
corrisposto alla realt effettiva ?
Vorr dire che i controllori saranno indotti, dora in
avanti, a mettere da parte le rappresentazioni e i
propositi risultanti da un semplice documento e si
orienteranno direttamente sugli aspetti concreti,
cio sulleffettiva applicazione delle misure di cui agli
articoli 31 e seguenti del Codice Privacy nonch del
relativo Allegato B, che descrive la modalit pratica
di tale applicazione.
I titolari del trattamento devono quindi ora
concentrare maggiormente la loro attenzione sulle
seguenti tematiche:
autenticazione informatica e adozione di
procedure di gestione delle credenziali di
autenticazione;
utilizzo di un sistema di autorizzazione;
aggiornamento periodico dell'individuazione
dell'ambito del trattamento consentito ai singoli
incaricati e addetti alla gestione o alla
manutenzione degli strumenti elettronici, fornendo
opportune e chiare istruzioni per l'effettiva protezione
dei dati;
protezione degli strumenti elettronici e dei dati
rispetto a trattamenti illeciti degli stessi, ad accessi
non consentiti e a programmi informatici dannosi;
aggiornamento degli strumenti elettronici al fine di
prevenirne la loro vulnerabilit e correggerne i difetti;
adozione di procedure e fornitura di istruzioni per la
custodia di copie di sicurezza, il ripristino della
disponibilit dei dati e dei sistemi;
adozione di misure di protezione e ripristino
specifiche per i dati sensibili e giudiziari rispetto ad
accessi abusivi e fornitura di istruzioni tecniche e
organizzative per la custodia e luso dei supporti
rimovibili contenenti tale tipologia di dati;
predisposizione e sottoscrizione di attestazioni di
conformit da parte di soggetti esterni, rispetto
alla struttura del titolare, riguardanti il rispetto
delle disposizioni privacy nellambito dei loro
interventi e/o trattamenti;
adozione di altre misure finalizzate alla
protezione e conservazione dei dati, in caso di
utilizzo di strumenti diversi da quelli elettronici.
Da questo elenco si comprende bene che
sarebbe comunque utile e opportuno
predisporre un documento interno (possiamo
anche non chiamarlo pi DPS) che riepiloghi
tutti gli aspetti illustrati in modo da attestare che
viene rispettato da parte del titolare del
trattamento quanto stabilito dal Codice
Privacy;
chiaro poi, ovviamente, che questi dovr

anche dimostrare di aver messo in pratica ci
che risulta sulla carta.
ad esempio quello riportante lelenco degli
amministratori di sistema con lindicazione delle
funzioni a loro assegnate,
quello relativo alla loro nomina,
oppure le attestazioni di conformit, anche su
base contrattuale, sul rispetto delle regole in
tema di privacy rilasciate da incaricati che
effettuano interventi di manutenzione sui sistemi
elettronici) che, in presenza del DPS, erano a
volte trascurati, altre volte proprio inesistenti.
Ricordiamo, tra laltro, che il citato Provvedimento
del Garante di novembre 2008, contiene importanti
prescrizioni di carattere pratico riguardanti lattivit
degli amministratori di sistema, in virt della
potenziale facolt, per questi soggetti, di trattare
molteplici dati personali: ci si riferisce, in particolare,
allimplementazione, presso la struttura del titolare, di
sistemi informatici che forniscono traccia di tutte le
operazioni (access log) effettuate dagli
amministratori di sistema nellespletare la propria
attivit, al fine di consentire al titolare del
trattamento un controllo ed una verifica costante
sulla correttezza del loro operato.
Anche le nomine dei responsabili del
trattamento, se designati, e le nomine degli
incaricati nonch le informative con
leventuale richiesta di consenso
allinteressato acquisiranno, accanto ad
una maggiore rilevanza in sede di controllo,
una rinnovata identit; documenti, fra laltro,
soggetti ad eventuale aggiornamento
derivante da interventi legislativi o nuovi
provvedimenti emanati dal Garante.
A questi aspetti non pu rimanere estranea la
formazione cui devono sottoporsi gli incaricati al
trattamento, tanto sotto laspetto normativo,
quanto sotto laspetto tecnico-organizzativo:
lattestazione di aver provveduto o comunque
la risultanza che effettivamente sono state
attuate attivit formative servir quindi al titolare
per dimostrare di aver messo gli incaricati in
condizione di rispettare le istruzioni contenute
nelle rispettive nomine.
La conclusione gi fatta trasparire tra le righe
precedenti comunque che, abolendo il DPS,
si voluto evidentemente dare pi risalto agli
aspetti concreti riguardanti il rispetto delle misure
di protezione dei dati personali, facendo passare
in secondo piano i risvolti formali legati ai
documenti.
MAGGIOR FOCUS PER RESPONSABILE, INFORMATIVE E NOMINE
A ben vedere, dallo stesso elenco sopra riportato risulta palesemente
rivalutato il ruolo del Responsabile della sicurezza informatica, il
quale, se nelle piccole realt potrebbe anche coincidere con il
titolare del trattamento, nelle realt pi complesse sicuramente un
soggetto (o anche pi di uno) avente la qualifica di "amministratore
di sistema" e quindi soggetto, fra laltro, a tutte le prescrizioni
contenute nel Provvedimento generale del Garante del 27
novembre 2008.
In effetti, per quanto riguarda i trattamenti di dati effettuati mediante
lutilizzo di strumenti elettronici, ci che viene riportato nellAllegato B
al Codice Privacy costituisce, guarda caso, prerogativa dei soggetti
che svolgono funzioni proprie degli amministratori di sistema e quindi
in definitiva dei soggetti responsabili della sicurezza informatica;
saranno proprio questi ad accollarsi lonere di attestare ladozione e
la sussistenza delle misure previste dalla legge e risulteranno quindi
pi valorizzati altri documenti
Misure di sicurezza
Sono tutti gli accorgimenti e i
dispositivi utilizzati per garantire che i
dati non vadano distrutti o persi
anche in modo accidentale, che
solo le persone autorizzate possano
avere accesso ai dati e che non
siano effettuati trattamenti contrari
alle norme di legge o diversi da
quelli per cui i dati erano stati
raccolti.
154
Misure di sicurezza
Le misure minime di sicurezza
sono specificate nellAllegato B
denominato "Disciplinare
Tecnico in materia di misure
minime di sicurezza".
IL DISCIPLINARE PIU CHE ESSERE
ORIENTATO VERSO LA PROTEZIONE
DEI DATI PERSONALI, E IMPORTANTE
UN ACCEZIONE ETIMOLOGICA DEL
VOCABOLO (PRO-TEGERE), SI
S O S TA N Z I A N O N TA N TO N E L L A
COPERTURA DEI DATI PERSONALI
QUANTO PIUTTOSTO NELLA LORO
DIFESA
155
Allegato B che detta le linee guida per la
predisposizione del Documento programmatico
della sicurezza (DPS)
Trattamenti con strumenti elettronici
Modalit tecniche da adottare a cura del

titolare, del responsabile ove designato e
dell'incaricato, in caso di trattamento con
strumenti elettronici
157
Sistema di autenticazione informatica
Il trattamento di dati
personali con strumenti
elettronici e' consentito agli
incaricati dotati di credenziali
di autenticazione che
consentano il superamento
di una procedura di
autenticazione relativa a uno
specifico trattamento o a un
insieme di trattamenti.
158
Le credenziali di autenticazione consistono in un
codice per l'identificazione dell'incaricato
associato a una parola chiave riservata
conosciuta solamente dal medesimo oppure in un
dispositivo di autenticazione in possesso e uso
esclusivo dell'incaricato, eventualmente associato
a un codice identificativo o a una parola chiave,
oppure in una caratteristica biometrica
dell'incaricato, eventualmente associata a un
codice identificativo o a una parola chiave.
159
Ad ogni incaricato
sono assegnate o
associate
individualmente una
o pi credenziali per
l'autenticazione.
160
Con le istruzioni
impartite agli incaricati
e' prescritto di
adottare le necessarie
cautele per assicurare
la segretezza della
componente riservata
della credenziale e la
diligente custodia dei
dispositivi in possesso
ed uso esclusivo
dell'incaricato.
161
La parola chiave, quando e' prevista dal sistema di

autenticazione, e' composta da almeno otto
caratteri oppure, nel caso in cui lo strumento
elettronico non lo permetta, da un numero di
caratteri pari al massimo consentito; essa non
contiene riferimenti agevolmente riconducibili
all'incaricato ed e' modificata da quest'ultimo al
primo utilizzo e, successivamente, almeno ogni sei
mesi.
In caso di trattamento di dati sensibili e di dati
giudiziari la parola chiave e' modificata almeno
ogni tre mesi.
162
Sistema di autenticazione Informatica
Il codice per l'identificazione, laddove utilizzato,

non pu essere assegnato ad altri incaricati,
neppure in tempi diversi.
163
Le credenziali di
autenticazione non
utilizzate da almeno sei
mesi sono disattivate,
salvo quelle
preventivamente
autorizzate per soli scopi
di gestione tecnica.
164
Le credenziali sono disattivate anche in caso di

perdita della qualit che consente all'incaricato
l'accesso ai dati personali.
165
Sono impartite istruzioni agli incaricati per non

lasciare incustodito e accessibile lo strumento
elettronico durante una sessione di trattamento.
166
Quando l'accesso ai dati e agli strumenti

elettronici e' consentito esclusivamente
mediante uso della componente
riservata della credenziale per
l'autenticazione, sono impartite idonee e
preventive disposizioni scritte volte a
individuare chiaramente le modalit
con le quali il titolare pu assicurare la
disponibilit di dati o strumenti elettronici
in caso di prolungata assenza o
impedimento dell'incaricato che renda
indispensabile e indifferibile intervenire
per esclusive necessit di operativit e di
sicurezza del sistema.
167
In tal caso la custodia delle
copie delle credenziali e'
organizzata garantendo la
relativa segretezza e
individuando
preventivamente per iscritto
i soggetti incaricati della loro
custodia, i quali devono
informare tempestivamente
l'incaricato dell'intervento
effettuato.
168
Sistema di autorizzazione
Quando per gli

incaricati sono
individuati profili di
autorizzazione di
ambito diverso e'
utilizzato un sistema di
autorizzazione.
169
I profili di autorizzazione,
per ciascun incaricato o
per classi omogenee di
incaricati, sono
individuati e configurati
anteriormente all'inizio
del trattamento, in modo
da limitare l'accesso ai
soli dati necessari per
effettuare le operazioni
di trattamento.
170
Periodicamente, e comunque almeno
annualmente, deve essere verificata la
sussistenza delle condizioni per la conservazione
dei profili di autorizzazione.
171
Altre misure di sicurezza
Aggiornamento periodico con cadenza
almeno annuale dell'individuazione
dell'ambito del trattamento consentito ai
singoli incaricati e addetti alla gestione o
alla manutenzione degli strumenti
elettronici, la lista degli incaricati pu essere
redatta anche per classi omogenee di
incarico e dei relativi profili di autorizzazione.
172
I dati personali sono protetti contro il rischio di
intrusione e dell'azione di programmi di cui all'art.
615-quinquies del codice penale, mediante
l'attivazione di idonei strumenti elettronici da
aggiornare con cadenza almeno semestrale.
173
Gli aggiornamenti periodici dei programmi per
elaboratore volti a prevenire la vulnerabilit di
strumenti elettronici e a correggerne difetti
sono effettuati almeno annualmente.
In caso di trattamento di dati sensibili o
giudiziari l'aggiornamento e' almeno
semestrale.
174
Sono impartite istruzioni
organizzative e tecniche
che prevedono il
salvataggio dei dati con
frequenza almeno
settimanale.
175
Ulteriori misure in caso di trattamento di
dati sensibili o giudiziari
I dati sensibili o giudiziari sono protetti contro

l'accesso abusivo, di cui all'art. 615-ter del
codice penale, mediante l'utilizzo di idonei
strumenti elettronici.
176
Ulteriori misure in caso di trattamento di dati
sensibili o giudiziari
Sono impartite istruzioni
organizzative e tecniche per la
custodia e l'uso dei supporti
removibili su cui sono
memorizzati i dati al fine di
evitare accessi non autorizzati e
trattamenti non consentiti.
177
Ulteriori misure in caso di trattamento
di dati sensibili o giudiziari
I supporti rimovibili contenenti
dati sensibili o giudiziari se non
utilizzati sono distrutti o resi
inutilizzabili, ovvero possono
essere riutilizzati da altri
incaricati, non autorizzati al
trattamento degli stessi dati, se le
informazioni precedentemente
in essi contenute non sono
intelligibili e tecnicamente in
alcun modo ricostruibili.
178
Ulteriori misure in caso di trattamento di
dati sensibili o giudiziari
Sono adottate idonee misure
per garantire il ripristino
dell'accesso ai dati in caso di
danneggiamento degli stessi o
degli strumenti elettronici, in
tempi certi compatibili con i
diritti degli interessati e non
superiori a sette giorni.
179
Misure di tutela e garanzia
Gli enti pubblici effettuano il trattamento
dei dati idonei a rivelare lo stato di salute e
la vita sessuale contenuti in elenchi, registri
o banche di dati con le modalit di cui
all'articolo 22, comma 6, del codice, anche
al fine di consentire il trattamento disgiunto
dei medesimi dati dagli altri dati personali
che permettono di identificare
direttamente gli interessati.
180
I dati relativi all'identit genetica sono
trattati esclusivamente all'interno di locali
protetti accessibili ai soli incaricati dei
trattamenti ed ai soggetti specificatamente
autorizzati ad accedervi; il trasporto dei
dati all'esterno dei locali riservati al loro
trattamento deve avvenire in contenitori
muniti di serratura o dispositivi equipollenti; il
trasferimento dei dati in formato elettronico
e' cifrato.
181
Misure di tutela e garanzia
Il titolare che adotta misure
minime di sicurezza
avvalendosi di soggetti
esterni alla propria struttura,
per provvedere alla
esecuzione ,riceve
dall'installatore una descrizione
scritta dell'intervento
effettuato che ne attesta la
conformit alle disposizioni del
presente disciplinare tecnico.
182
Trattamenti senza l'ausilio di strumenti
elettronici
Modalit tecniche da
adottare a cura del
titolare, del responsabile,
ove designato, e
dell'incaricato, in caso di
trattamento con strumenti
diversi da quelli elettronici:
183
Agli incaricati sono
impartite istruzioni scritte
finalizzate al controllo ed
alla custodia, per l'intero
ciclo necessario allo
svolgimento delle
operazioni di trattamento,
degli atti e dei documenti
contenenti dati personali.
184
Nell'ambito
dell'aggiornamento
periodico con cadenza
almeno annuale
dell'individuazione
dell'ambito del trattamento
consentito ai singoli
incaricati, la lista degli
incaricati pu essere redatta
anche per classi omogenee
di incarico e dei relativi profili
di autorizzazione.
185
Quando gli atti e i documenti contenenti dati
personali sensibili o giudiziari sono affidati agli
incaricati del trattamento per lo svolgimento dei
relativi compiti, i medesimi atti e documenti sono
controllati e custoditi dagli incaricati fino alla
restituzione in maniera che ad essi non
accedano persone prive di autorizzazione, e
sono restituiti al termine delle operazioni affidate.
186
L'accesso agli archivi contenenti dati sensibili o
giudiziari controllato.
187
Le persone ammesse, a
qualunque titolo, dopo l'orario di
chiusura, sono identificate e
registrate.
Quando gli archivi non sono
dotati di strumenti elettronici per
il controllo degli accessi o di
incaricati della vigilanza, le
persone che vi accedono sono
preventivamente autorizzate.
188

DECRETO 7 dicembre 2006, n.305
Regolamento relativo al trattamento dei dati sensibili e giudiziari nel settore
dellistruzione
Regolamento recante identificazione dei

dati sensibili e giudiziari trattati e delle
relative operazioni effettuate dal
Ministero della pubblica istruzione, in
attuazione degli articoli 20 e 21 del
decreto legislativo 30 giugno 2003, n.
196, recante Codice in materia di
protezione dei dati personali.
Regolamento dati sensibili
Ravvisatala necessit di provvedere ad

Identificare le tipologie di dati sensibili e giudiziari trattati nell'ambito
dell'amministrazione dell'istruzione,
le finalit d'interesse pubblico perseguite attraverso il trattamento dei
citati dati, nonch le operazioni eseguite con gli stessi;
Si specificano i tipi di dati che possono essere trattati dalle scuole, le
operazioni che su di essi sono eseguibili e le finalit di rilevante
interesse pubblico perseguite
Il testo del Regolamento molto snello ed essenziale suddiviso in tre
articoli
Si sottolinea lobbligo di trattare dati sensibili e giudiziari solo previa
verifica della loro pertinenza, completezza ed indispensabilit rispetto
alle finalit perseguite nei singoli casi -
Caratteristiche del dato trattato
PERTINENZA: la sua stretta rilevanza ai fini della
realizzazione di quel compito nellambito delle
finalit istituzionali
COMPLETEZZA: eda intendersi che la parzialit

potrebbe inficiare il perseguimento delle finalit
INDISPENSABILITA : indispensabili per lo svolgimento di

funzioni istituzionali che non potrebbero essere
adempiute altrimenti (ricorso a dati anonimi o di
altra natura)
Identifica nelle schede allegate, che ne formano
parte integrante, le tipologie di dati sensibili e
giudiziari e di operazioni indispensabili per la
gestione del sistema dell'istruzione , nel
perseguimento delle finalit di rilevante interesse
pubblico , individuate dal codice e dalle specifiche
previsioni di legge.
Le operazioni di interconnessione e raffronto con banche di
dati di altri titolari del trattamento e di comunicazione a terzi
individuate nel regolamento sono ammesse soltanto
se indispensabili allo svolgimento degli obblighi o compiti di
volta in volta indicati
solo per il perseguimento delle rilevanti finalit di interesse
pubblico specificate
I raffronti e le interconnessioni con altre informazioni sensibili e
giudiziarie sono consentite soltanto previa verifica della loro
stretta indispensabilit
Quindi occorre prendere in considerazione le sole finalit di
rilevante interesse pubblico
Si considerano di rilevante interesse pubblico le
finalit di
istruzione
formazione
educazione
Schede allegate al regolamento
Sono parte integrante del regolamento

7 schede che individuano tutti i dati
sensibili e giudiziari trattati dalle Scuole
suddividendoli in ambiti
Scheda n. 1
Selezione e reclutamento del personale
dipendente
Scheda n. 2
Gestione del contenzioso e procedimenti
disciplinari
Scheda n. 3
Organismi collegiali e commissioni istituzionali
Scheda n. 4
Attivit propedeutiche allavvio dellanno
scolastico
Scheda n. 5
Attivit educativa didattica -formativa e di
valutazione
Scheda n. 6 scuole non statali
Scheda n. 7
Rapporti scuola-famiglia gestione del
contenzioso
Ogni scheda consente alle Scuole
di individuare chiaramente i trattamenti
consentiti,
le finalit di rilevante interesse pubblico
perseguite,
le fonti normative,
i soggetti esterni pubblici e privati a cui
possibile comunicare i dati i tipi di dati trattati.
in pratica le schede sono molto importanti dal
punto di vista operativo
costituiscono una guida obbligatoria da cui le

scuole non possono derogare
SCHEDA N. 4
Indicazione del trattamento e descrizione
riassuntiva del contesto
ATTIVITA' PROPEDEUTICHE ALL'AVVIO DELL'ANNO
SCOLASTICO
I dati sono forniti dagli alunni e dalle famiglie ai
fini della frequenza dei corsi di studi nelle
istituzioni scolastiche di ogni ordine e grado, ivi
compresi convitti, educandati e scuole speciali.
Nell'espletamento delle attivit propedeutiche
all'avvio dell'anno scolastico da parte delle
istituzioni scolastiche, possono essere trattati
dati sensibili relativi:
alle origini razziali ed etniche, per favorire
l'integrazione degli alunni con cittadinanza
non italiana;
alle convinzioni religiose, per garantire la
libert di credo religioso e per la fruizione
dell'insegnamento della religione cattolica o
delle attivit alternative a tale
insegnamento;
allo stato di salute, per assicurare
l'erogazione del sostegno degli alunni
diversamente abili e per la composizione
delle classi;
alle vicende giudiziarie, per assicurare il
diritto allo studio anche a soggetti sottoposti
a regime di detenzione; i dati giudiziari
emergono anche nel caso in cui l'autorit
giudiziaria abbia predisposto un programma
di protezione nei confronti dell'alunno
nonch degli alunni che abbiano commesso
reati.
Operazioni eseguite
Particolari forme di trattamento
Comunicazione ai seguenti soggetti per le seguenti finalit:
a) agli Enti Locali per la fornitura di servizi ai sensi del D.Lgs. 31
marzo 1998, n. 112, limitatamente ai dati indispensabili
all'erogazione del servizio;
b) ai gestori pubblici e privati dei servizi di assistenza agli alunni
e di supporto all'attivit scolastica, ai sensi delle leggi regionali
sul diritto allo studio, limitatamente ai dati indispensabili
all'erogazione del servizio;
c) alle AUSL e agli Enti Locali per il funzionamento dei Gruppi
di Lavoro Handicap di istituto e per la predisposizione e
verifica del Piano Educativo Individualizzato, ai sensi della
Legge 5 febbraio 1992, n. 104;
SCHEDA N. 5
Indicazione del trattamento e descrizione riassuntiva
del contesto
ATTIVITA' EDUCATIVA, DIDATTICA E FORMATIVA, DI
VALUTAZIONE
Nell'espletamento delle attivit educative, didattiche
e formative, curriculari ed extracurriculari, di
valutazione ed orientamento, di scrutini ed esami, da
parte delle istituzioni scolastiche di ogni ordine e
grado, ivi compresi convitti, educandati e scuole
speciali, possono essere trattati dati sensibili relativi:
alle origini razziali ed etniche per favorire l'integrazione
degli alunni con cittadinanza non italiana;
alle convinzioni religiose per garantire la libert di
credo religioso;
allo stato di salute, per assicurare l'erogazione del
servizio di refezione scolastica, del sostegno agli
alunni disabili, dell'insegnamento domiciliare ed
ospedaliero nei confronti degli alunni affetti da gravi
patologie, per la partecipazione alle attivit
educative e didattiche programmate, a quelle
motorie e sportive, alle visite guidate e ai viaggi di
istruzione;
ai dati giudiziari, per assicurare il diritto allo
studio anche ai soggetti sottoposti a regime di
detenzione;
alle convinzioni politiche, per la costituzione e il
funzionamento delle Consulte e delle
Associazioni degli studenti e dei genitori.
I dati sensibili possono essere trattati per la
valutazione periodica e finale, per le attivit di
orientamento e per la compilazione della
certificazione delle competenze.
Operazioni eseguite
Particolari forme di trattamento
Comunicazione ai seguenti soggetti per le seguenti
finalit:
a) Alle altre istituzioni scolastiche, statali e non statali,
per la trasmissione della documentazione attinente
la carriera scolastica degli alunni, limitatamente ai
dati indispensabili all'erogazione del servizio;
b) agli Enti Locali per la fornitura di servizi ai sensi del
D.Lgs. 31 marzo 1998, n. 112, limitatamente ai dati
indispensabili all'erogazione del servizio;
c) ai gestori pubblici e privati dei servizi di
assistenza agli alunni e di supporto all'attivit
scolastica, ai sensi delle leggi regionali sul
diritto allo studio, limitatamente ai dati
indispensabili all'erogazione del servizio;
d) agli Istituti di assicurazione per la denuncia
di infortuni e per la connessa responsabilit
civile;
e) all'INAIL per la denuncia degli infortuni ex-
D.P.R. 30 giugno 1965, n. 1124;
f) alle AUSL e agli Enti Locali per il
funzionamento dei Gruppi di Lavoro di istituto
per l'Handicap e per la predisposizione e la
verifica del Piano Educativo Individuale, ai
sensi della Legge 5 febbraio 1992, n. 104;
g) ad aziende, imprese ed altri soggetti
pubblici o privati per tirocini formativi, stages
e alternanza scuola lavoro, ai sensi della
Legge 24 giugno 1997, n. 196 e del D.Lgs. 21
aprile 2005, n. 77 e, facoltativamente, per
attivit di rilevante interesse sociale ed
economico, limitatamente ai dati
indispensabili all'erogazione del servizio.
SCHEDA N. 7
Indicazione del trattamento e descrizione riassuntiva del contesto

RAPPORTI SCUOLA-FAMIGLIE: GESTIONE DEL CONTENZIOSO
Il trattamento dei dati sensibili e giudiziari concerne
tutte le attivit connesse alla instaurazione di
contenzioso (reclami, ricorsi, esposti, provvedimenti di
tipo disciplinare, ispezioni, citazioni, denunce,
all'autorit giudiziaria, etc.) con gli alunni e con le
famiglie, e tutte le attivit relative alla difesa in giudizio
delle istituzioni scolastiche di ogni ordine e grado, ivi
compresi convitti, educandati e scuole speciali.
Operazioni eseguite
Comunicazione con altri soggetti pubblici e
privati:
- Avvocature dello Stato, per la difesa erariale e
consulenza presso gli organi di giustizia;
- Magistrature ordinarie e amministrativo-
contabile e Organi di polizia giudiziaria, per
l'esercizio dell'azione di giustizia;
- Liberi professionisti, ai fini di patrocinio o di
consulenza, compresi quelli di controparte per le
finalit di corrispondenza.
COME FARE A SCUOLA
istruzioni scritte agli incaricati
Attenta custodia degli atti, delle cartelline, dei faldoni, fino al
termine del trattamento
Controllo di accesso agli archivi contenenti dati sensibili o
giudiziari
Buone pratiche di archiviazione
Locali adeguati
Distruzione dei documenti superati
Attenzione ai sacchetti della carta; uso della distruggi
documenti
Attenzione allinchiostro!
Attenzione alle fotocopie!
COME FARE (negli istituti scolastici)
Attenzione ai registri personali

Attenzione ai registri di classe
Attenzione ai verbali dei consigli di classe
Attenzione ai TEMI
Attenzione ai certificati medici
Attenzione a i documenti relativi a portatori di
handicap
Attenzione alle informazioni avute in
confidenzada genitori o dallallievo stesso
Protezione degli strumenti elettronici e dei dati
Abbandono controllato della propria
postazione
Attenzione ai riflessi
Attenzione al Pubblico
Macchine chiuse a fine della giornata
lavorativa
E in pi..firewall e antivirus
Attenzione al riuso a tutti i costi (CD, Floppy)
BACK - UP
PREVENZIONE (EVITARE DISTRUZIONE O PERDITA
DATI)
RECUPERO (IN CASO DI DANNEGGIAMENTO)
Ma non sufficiente
Occorre conservare in modo adeguato
E ancora.
Attenzione alle intercettazioni di mail;
Attenzione ai fax
Attenzione al telefono
Attenzione alle richieste via telefono da parte
di polizia e altri.
1. REGISTRO ELETTRONICO E CODICE
DELLAMMINISTRAZIONE DIGITALE (CAD)
Il piano e-Gov 2012 ha definito una serie di obiettivi
per la cd. digitalizzazione della Pubblica
Amministrazione rispondenti alle necessit di
semplificazione, riduzione delle spese e degli sprechi,
migliore organizzazione delle risorse.
Uno degli obiettivi da attuare riguarda proprio
l'informatizzazione di una serie di servizi di natura
scolastica: alcuni di essi - come il registro - gi
presenti nella versione tradizionale cartacea ed
aggiornati alla tecnologia in uso, ed altri - come la
prenotazione dei colloqui con i docenti - di nuova
introduzione.
Con tale intervento normativo, il legislatore ha di fatto
attribuito valore legale ai documenti che la Pubblica
Amministrazione produce in formato digitale.
Il documento informatico sostanzialmente equiparato
a quello cartaceo, purch sussistano certe condizioni di
sicurezza.
Si prenda ad esempio la questione del registro
elettronico. Indipendentemente dal software di
gestione il registro elettronico consiste nella
trasposizione digitale del tradizionale registro cartaceo,
cui aggiunge l'operativit in remoto o multi-accesso
(che consente ai docenti di operare da pi postazioni
a scuola o, al limite, anche da casa)
I dati contenuti nel registro elettronico avranno
pertanto il medesimo valore legale delle
annotazioni autografe iscritte sul tradizionale
registro cartaceo, a condizione che la firma
del documento digitale sia, anch'essa,
equiparata ad una firma apposta a mano.
1.2 Gestione informatica dei dati personali nelle scuole
Il Codice Privacy (D.Lgs. 196/2003) pone una serie di regole a tutela
dei dati personali trattati dalla Pubblica Amministrazione con l'ausilio di
strumenti elettronici.
L'art. 34 del citato Codice impone infatti alle Amministrazioni di dotarsi
di una serie di strumenti che consentano la sicura gestione dei dati:
luso di un sistema di autenticazione informatica, con credenziali di
accesso (sar sufficiente l'utilizzo di un sistema di gestione delle
password di accesso a terminali e banche dati residenti in remoto);
ladozione di misure contro il rischio di intrusione (ovvero l'utilizzo di
adeguati firewall, software o hardware che siano, o anche di un proxy
server);
ladozione di misure contro lazione di programmi diretti a
danneggiare o interrompere un sistema informatico (ovvero l'utilizzo di
versioni aggiornate di vari programmi di protezione, come antivirus e
antispyware/malware);
ladozione di tecniche di salvataggio periodico (backup) dei dati.
Si ricordano pertanto, gli obblighi periodici di redazione/
aggiornamento del DPS (Documento Programmatico sulla
Sicurezza) e di formazione del personale.
Quanto alla possibile gestione esterna del registro elettronico,

si ricorda la necessit che il prestatore di servizi esterno sia
individuato tramite preciso incarico di responsabile del
trattamento, cui dovr seguire l'individuazione degli incaricati
presso gli addetti dell'impresa che si occupa della gestione
informatica dei flussi di dati: entrambe le definizioni
(responsabile ed incaricato) sono previste all'art. 4 D.Lgs.
196/2003.
SMS DALLA SCUOLA, ASSENZE, PAGELLE,
ATTI DELL'AZIONE DISCIPLINARE
Lasciando da parte la teoria, occorre esaminare l'impatto
pratico della questione, ovvero come la digitalizzazione della
Scuola possa incidere sulla gestione dei rapporti scuola-
famiglia, anche dal punto di vista della privacy.
Il citato piano di rinnovamento della P.A. promette
l'informatizzazione di quasi tutti i documenti prodotti
dall'Amministrazione Scuola, ma anche dei rapporti informativi
diretti alle famiglie (le assenze, le pagelle, gli atti dell'azione
disciplinare).
pertanto opportuno chiedersi se tale rivoluzione incida sulla
riservatezza degli alunni, con particolare riguardo a quelli
maggiorenni.
Si deve necessariamente partire da una
considerazione interpretativa: la forma della
comunicazione non pu - o non dovrebbe -
prevalere sulla sostanza.
Di conseguenza, la comunicazione ai genitori
delle assenze dei figli minori legittima a
prescindere dalla forma (digitale, cartacea o
telefonica) della comunicazione medesima.
Videosorveglianza
Leventuale installazione di sistemi di videosorveglianza
presso istituti scolastici deve garantire "il diritto dello
studente alla riservatezza" (art. 2, comma 2, d.P.R. n.
249/1998) e tenere conto della delicatezza delleventuale
trattamento di dati relativi a minori.
A tal fine, se pu risultare ammissibile il loro utilizzo in casi
di stretta indispensabilit (ad esempio, a causa del
protrarsi di atti vandalici), gli stessi devono essere
circoscritti alle sole aree interessate ed attivati negli orari
di chiusura degli istituti, regolando rigorosamente
leventuale accesso ai dati.
Restano di competenza dellautorit giudiziaria o di
polizia le iniziative intraprese a fini di tutela dellordine
pubblico o di individuazione di autori di atti criminali (per
es. spacciatori di stupefacenti, adescatori, ecc.).
TELECAMERE
Si possono in generale installare telecamere
allinterno degli istituti scolastici, ma devono
funzionare solo negli orari di chiusura degli istituti
e la loro presenza deve essere segnalata con
cartelli. Se le riprese riguardano lesterno della
scuola, langolo visuale delle telecamere deve
essere opportunamente delimitato. Le immagini
registrare devono essere cancellate in generale
dopo 24 ore
Privacy-Trasparenza e Web
Sono state aggiornate le linee guida del GdP
relativamente alla privacy e alla trasparenza per le
Pubbliche Amministrazioni.. Tra le novit anche i
motori di ricerca.
Tra le novit anche quella relativa all'indicizzazione
nei motori di ricerca. Secondo quanto riportato nel
nuovo documento, le PA dovranno adottare misure
per impedire la indicizzazione dei dati sensibili da
parte dei motori di ricerca e il loro riutilizzo.
Nei particolari, lobbligo di indicizzare i dati
nei motori di ricerca generalisti (es. Google)
durante il periodo di pubblicazione
obbligatoria limitato ai soli dati
tassativamente individuati dalle norme in
materia di trasparenza.
Non possono essere indicizzati nei motori di
ricerca i dati sensibili e giudiziari.
Le nuove indicazioni del Garante della
Privacy

Principi generali
Le Pa devono pubblicare solo dati esatti,
aggiornati e contestualizzati.
Prima di mettere on line sui propri siti
informazioni, atti e documenti amministrativi
contenenti dati personali, le amministrazioni
devono verificare che esista una norma di legge
o di regolamento che ne preveda l'obbligo.
Le Pa devono pubblicare on line solo dati la cui
pubblicazione risulti realmente necessaria. E'
sempre vietata la pubblicazione di dati sulla
salute e sulla vita sessuale. I dati sensibili (etnia,
religione, appartenenze politiche etc.) possono
essere diffusi solo laddove indispensabili al
perseguimento delle finalit di rilevante interesse
pubblico.
Occorre adottare misure per impedire la
indicizzazione dei dati sensibili da parte dei
motori di ricerca e il loro riutilizzo.
Qualora le Pa intendano pubblicare dati
personali ulteriori rispetto a quelli individuati nel
decreto legislativo n.33, devono procedere
prima a rendere anonimi questi dati, evitando
soluzioni che consentano l'identificazione, anche
indiretta o a posteriori, dell'interessato.
Open data e riutilizzo dei dati
I dati pubblicati on line non sono liberamente
utilizzabili da chiunque per qualunque finalit.
L'obbligo previsto dalla normativa in materia
di trasparenza on line della Pa di pubblicare
dati in "formato aperto", non comporta che
tali dati siano anche "dati aperti", cio
liberamente utilizzabili da chiunque per
qualunque scopo. Il riutilizzo dei dati personali
non deve pregiudicare, anche sulla scorta
della direttiva europea in materia, il diritto alla
privacy.
Le Pa dovranno quindi inserire nella sezione
denominata "Amministrazione trasparente"
sui propri siti web un alert con cui si informa il
pubblico che i dati personali sono
riutilizzabili in termini compatibili con gli
scopi per i quali sono raccolti e nel rispetto
del norme sulla protezione dei dati personali.
I dati sensibili e giudiziari non possono essere
riutilizzati.
Durata degli obblighi di pubblicazione
Il periodo di mantenimento on line dei dati
stato generalmente fissato in 5 anni dal
decreto legislativo n.33. Sono previste per
alcune deroghe, come nell'ipotesi in cui gli
atti producano i loro effetti oltre questa
scadenza. In ogni caso, quando sono stati
raggiunti gli scopi per i quali essi sono stati
resi pubblici e gli atti hanno prodotto i loro
effetti, i dati personali devono essere oscurati
anche prima del termine dei 5 anni.
Motori di ricerca
L'obbligo di indicizzare i dati nei motori di ricerca
generalisti (es. Google) durante il periodo di
pubblicazione obbligatoria limitato ai soli dati
tassativamente individuati dalle norme in materia
di trasparenza. Vanno dunque esclusi gli altri dati
che si ha l'obbligo di pubblicare per altre finalit
di pubblicit (es. pubblicit legale sull'albo
pretorio, pubblicazioni matrimoniali etc).
Non possono essere indicizzati (e quindi reperibili
attraverso i motori di ricerca) i dati sensibili e
giudiziari.
Specifici obblighi di
pubblicazione
Risulta proporzionato indicare il compenso
complessivo percepito dai singoli dipendenti
(determinato tenendo conto di tutte le
componenti, anche variabili, della
retribuzione). Non per giustificato
riprodurre sul web le dichiarazioni fiscali o la
versione integrale dei cedolini degli stipendi.
A tutela di fasce deboli, persone invalide,
disabili o in situazioni di disagio economico
destinatarie di sovvenzioni o sussidi, sono
previste limitazioni nella pubblicazione dei
dati identificativi.
Vi invece l'obbligo di pubblicare la
dichiarazione dei redditi di politici e
amministratori, con l'esclusione di dati non
pertinenti (stato civile, codice fiscale) o dati
sensibili (spese mediche, erogazioni di
denaro ad enti senza finalit di lucro etc.).
Obblighi di pubblicit degli atti per finalit
diverse dalla trasparenza
Il rispetto dei principi di esattezza, necessit,

pertinenza e non eccedenza, permanenza
on line limitata nel tempo dei dati personali,
vale anche per la pubblicazione di atti per
finalit diverse dalla trasparenza (albo
pretorio on line degli enti locali, graduatorie
di concorsi etc.).
Al fine di ridurre i rischi di
decontestualizzazione del dato personale e
la riorganizzazione delle informazioni
secondo parametri non conosciuti
dall'utente, necessario prevedere
l'inserimento all'interno del documento di
"dati di contesto"
(es. data di aggiornamento, periodo di
validit, amministrazione, numero di
protocollo) ed evitare l'indicizzazione tramite
motori di ricerca generalisti, privilegiando
funzionalit di ricerca interne ai siti web delle
amministrazioni.
Deve essere evitata la duplicazione massiva
dei file.
LA PRIVACY TRA
I BANCHI DI SCUOLA
IL GARANTE DELLA PRIVACY Francesco Pizzetti, Presidente
Nelle scuole, di ogni ordine e grado, vengono trattate
giornalmente numerose informazioni sugli studenti e sulle loro
famiglie, sui loro problemi sanitari o di disagio sociale, sulle
abitudini alimentari.
A volte pu bastare una lettera contenente dati sensibili (quelli
pi delicati) su un minorenne, o un tabellone scolastico con
riferimenti indiretti sulle condizioni di salute degli studenti, per
violare anche involontariamente la riservatezza, la dignit di
una persona.
Al tempo stesso, la privacy stata talvolta utilizzata in
maniera impropria, per non rendere pubbliche determinate
informazioni, come i risultati scolastici e quelli degli esami.
Con il vademecum, il Garante intende
offrire un contributo a favore di una
comunit scolastica che possa
promuovere il rispetto reciproco e
tutelare il diritto degli studenti alla
riservatezza
REGOLE GENERALI
ORIGINI RAZZIALI ED ETNICHE

I dati sulle origini razziali ed etniche possono
essere trattati dalla scuola per favorire
lintegrazione degli alunni stranieri.
CONVINZIONI RELIGIOSE
Gli istituti scolastici possono utilizzare i dati sulle
convinzioni religiose al fine di garantire la libert
di credo che potrebbe richiedere ad esempio
misure particolari per la gestione della mensa
scolastica e per la fruizione dellinsegnamento
della religione cattolica o delle attivit
alternative a tale insegnamento.
STATO DI SALUTE
I dati idonei a rivelare lo stato di salute
possono essere trattati per lassegnazione del
sostegno agli alunni disabili; per la
composizione delle classi; per la gestione delle
assenze per malattia; per linsegnamento
domiciliare e ospedaliero nei confronti degli
alunni affetti da gravi patologie; per la
partecipazione alle attivit sportive, alle visite
guidate e ai viaggi di istruzione.
CONVINZIONI POLITICHE
Le opinioni politiche possono essere trattate

dalla scuola esclusivamente per garantire la
costituzione e il funzionamento degli
organismi di rappresentanza: ad esempio, le
consulte e le associazioni degli studenti e dei
genitori.
DATI DI CARATTERE GIUDIZIARIO
I dati di carattere giudiziario possono essere
trattati per assicurare il diritto allo studio anche a
soggetti sottoposti a regime di detenzione o di
protezione.
Il trattamento di dati sensibili e giudiziari previsto
anche per tutte le attivit connesse ai contenziosi
con gli alunni e con le famiglie (reclami, ricorsi,
esposti, provvedimenti di tipo disciplinare,
ispezioni, citazioni, denunce allautorit
giudiziaria, etc.), e per tutte le attivit relative alla
difesa in giudizio delle istituzioni scolastiche.
VOTI ED ESAMI
TEMI IN CLASSE
Non commette violazione della privacy linsegnante
che assegna ai propri alunni lo svolgimento di temi in
classe riguardanti il loro mondo personale o familiare.
Nel momento in cui gli elaborati vengono letti in classe
specialmente se sono presenti argomenti delicati -
affidata alla sensibilit di ciascun insegnante la
capacit di trovare il giusto equilibrio tra le esigenze
didattiche e la tutela dei dati personali.
Restano comunque validi gli obblighi di riservatezza gi
previsti per il corpo docente riguardo al segreto
dufficio e professionale, nonch quelli relativi alla
conservazione dei dati personali eventualmente
contenuti nei temi degli alunni.
VOTI SCOLASTICI, SCRUTINI,
TABELLONI, ESAMI DI STATO
Non esiste alcun provvedimento del Garante che
imponga di tenere segreti i voti dei compiti in classe
e delle interrogazioni, gli esiti degli scrutini o degli
esami di Stato, perch le informazioni sul rendimento
scolastico sono soggette a un regime di trasparenza
Il regime attuale relativo alla conoscibilit dei risultati
degli esami di maturit stabilito dal Ministero
dellistruzione. Per il principio di trasparenza a
garanzia di ciascuno, i voti degli scrutini e degli
esami devono essere pubblicati nellalbo degli
istituti.
necessario prestare attenzione, per, a non
fornire anche indirettamente informazioni
sulle condizioni di salute degli studenti, o altri
dati personali non pertinenti. Ad esempio, il
riferimento alle prove differenziate
sostenute dagli studenti portatori di handicap
non va inserito nei tabelloni affissi allalbo
dellistituto, ma deve essere indicato
solamente nellattestazione da rilasciare allo
studente.
INFORMAZIONI SUGLI
STUDENTI
CIRCOLARI E COMUNICAZIONI
SCOLASTICHE
Il dirittodovere di informare le famiglie
sullattivit e sugli avvenimenti della vita
scolastica deve essere sempre bilanciato con
lesigenza di tutelare la personalit dei minori.
quindi necessario, ad esempio, evitare di
inserire nelle comunicazioni scolastiche
elementi che consentano di risalire, anche
indirettamente, allidentit di minori coinvolti
in vicende particolarmente delicate.
ORIENTAMENTO, FORMAZIONE E
INSERIMENTO PROFESSIONALE
Su richiesta degli studenti interessati, le scuole

possono comunicare, anche a privati e per
via telematica, i dati relativi ai loro risultati
scolastici per aiutarli nellorientamento, la
formazione e linserimento professionale
anche allestero.
PUBBLICIT
Non possibile utilizzare i dati affissi
allalbo degli istituti scolastici
per inviare materiale pubblicitario
a casa degli studenti.
La conoscibilit a chiunque degli esiti
scolastici (ad esempio attraverso il
tabellone affisso nella scuola) risponde
a essenziali esigenze di trasparenza.
Ci non autorizza soggetti terzi
a utilizzare tali nominativi per altre
finalit come, ad esempio, linvio
di materiale pubblicitario.
QUESTIONARI PER ATTIVIT DI RICERCA
Svolgere attivit di ricerca con la raccolta di
informazioni personali, spesso anche sensibili,
tramite questionari da sottoporre agli alunni,
consentito soltanto se i ragazzi, o i genitori nel
caso di minori, sono stati preventivamente
informati sulle modalit di trattamento e
conservazione dei dati raccolti e sulle misure di
sicurezza adottate. Gli intervistati, inoltre, devono
sempre avere la facolt di non aderire
alliniziativa.
FOTO, AUDIO E VIDEO
RECITE, GITE SCOLASTICHE E FOTO DI CLASSE
Non violano la privacy le riprese video e le fotografie
raccolte dai genitori, durante le recite, le gite e i
saggi scolastici. Le immagini, in questi casi, sono
raccolte per fini personali e destinate a un ambito
familiare o amicale e non alla diffusione.
Va per prestata particolare attenzione alla
eventuale pubblicazione delle medesime immagini
su Internet, e sui social network in particolare. In caso
di comunicazione sistematica o diffusione diventa,
infatti, necessario di regola ottenere il consenso delle
persone presenti nelle fotografie e nei video.
REGISTRAZIONE DELLA LEZIONE
possibile registrare la lezione esclusivamente per
scopi personali, ad esempio per motivi di studio
individuale. Per ogni altro utilizzo o eventuale
diffusione, anche su Internet, necessario prima
informare adeguatamente le persone coinvolte
nella registrazione (professori, studenti), e ottenere
il loro esplicito consenso.
Nellambito dellautonomia scolastica, gli istituti
possono decidere di regolamentare diversamente o
anche di inibire gli apparecchi in grado di registrare.
(Vedi anche il paragrafo : Videofonini, filmati,
mms)
SICUREZZA E CONTROLLO
RILEVAMENTO DELLE PRESENZE CON
DATI BIOMETRICI
Lutilizzo delle impronte digitali o di altri dati
biometrici per rilevare la presenza di un
gruppo di individui giustificato soltanto
dallesistenza di reali esigenze di sicurezza,
determinate da concrete e gravi situazioni di
rischio. Il sistema di rilevamento delle impronte
digitali, ad esempio, stato giudicato
sproporzionato rispetto allobiettivo di
consentire agli studenti laccesso ai servizi di
mensa universitaria.
VIDEOFONINI, FILMATI, MMS
Lutilizzo di videofonini, di apparecchi per la registrazione di
suoni e immagini in genere consentito, ma
esclusivamente per fini personali, e sempre nel rispetto dei
diritti e delle libert fondamentali delle persone coinvolte,
in particolare della loro immagine e dignit.
Le istituzioni scolastiche hanno, comunque, la possibilit di
regolare o di inibire lutilizzo di registratori audio-video,
inclusi i telefoni cellulari abilitati, allinterno delle aule di
lezione o nelle scuole stesse.
Non possibile, in ogni caso, diffondere o comunicare
sistematicamente i dati personali di altre persone (ad
esempio immagini o registrazioni audio/video) senza aver
prima informato adeguatamente le persone coinvolte e
averne ottenuto lesplicito consenso.
Gli studenti e gli altri membri della comunit
scolastica devono quindi prestare particolare
attenzione a non mettere on line immagini (ad
esempio su blog, siti web, social network) o a
diffonderle via mms. Succede spesso, tra laltro,
che una fotografia inviata a un amico/familiare,
poi venga inoltrata ad altri destinatari, generando
involontariamente una comunicazione a catena
dei dati personali raccolti. Tale pratica pu dar
luogo a gravi violazioni del diritto alla riservatezza
delle persone riprese, incorrendo in sanzioni
disciplinari, pecuniarie ed eventuali reati.
Le graduatorie
Il Garante intervenuto pi volte contro illeciti compiuti
nella pubblicazione on line di graduatorie di vario tipo, le
quali spesso contengono dati personali non pertinenti o
eccedenti le finalit istituzionali perseguite.
Alcuni Comuni, ad esempio, hanno pubblicato on line le
graduatorie di chi ha diritto ad usufruire del servizio di
scuolabus includendo tra le varie informazioni
liberamente accessibili, non solo i dati identificativi dei
bambini, ma anche l'indirizzo di residenza e il luogo
preciso dove lo scuolabus li avrebbe fatti salire e
scendere. La diffusione di questi dati, oltre a comportare
una violazione della normativa, pu rendere i minori
facile preda di malintenzionati.
Un altro caso frequente riguarda la pubblicazione sui
siti Internet degli istituti delle graduatorie di docenti e
personale amministrativo tecnico e ausiliario (Ata)
per consentire a chi ambisce a incarichi e supplenze
di conoscere la propria posizione e punteggio. Tali
liste, giustamente accessibili a tutti, non devono per
contenere, come in diversi casi segnalati al Garante,
i numeri di telefono e gli indirizzi privati dei candidati.
Questa illecita diffusione dei contatti personali
incrementa, tra l'altro, il rischio di esporre i lavoratori
a forme di stalking o a possibili furti di identit.
Il servizio mensa
Il Garante ricorda che illecito pubblicare sul sito
della scuola il nome e cognome degli studenti i cui
genitori sono in ritardo nel pagamento della retta o
del servizio mensa. Lo stesso vale per gli studenti che
usufruiscono gratuitamente del servizio in quanto
appartenenti a famiglie con reddito minimo o a
fasce deboli. Gli avvisi messi on line devono avere
carattere generale, mentre alle singole persone ci si
pu rivolgere con comunicazioni di carattere
individuale. A salvaguardia della trasparenza sulla
gestione delle risorse scolastiche, restano ferme le
regole sull'accesso ai documenti amministrativi da
parte delle persone interessate.
L'iscrizione a scuole
Gli istituti scolastici devono predisporre con cura i
moduli di iscrizione di bambini e studenti, cos da non
chiedere alle famiglie informazioni personali
eccedenti e non rilevanti. Particolare attenzione
deve essere posta sull'eventuale raccolta di dati
sensibili, come quelli sulle condizioni di salute e
sull'appartenenza etnica o religiosa. Il trattamento di
questi dati, oltre a dover essere espressamente
previsto dalla normativa, richiede infatti speciali
cautele e pu essere effettuato solo se i dati sensibili
sono indispensabili per l'attivit istituzionale svolta:
non questo il caso della semplice iscrizione a
scuola.
Art. 95. Dati sensibili e giudiziari 1. Si considerano di rilevante interesse
pubblico, ai sensi degli articoli 20 e 21, le finalit di istruzione e di
formazione in ambito scolastico, professionale, superiore o universitario,
con particolare riferimento a quelle svolte anche in forma integrata.
Art. 96. Trattamento di dati relativi a studenti 1. Al fine di agevolare
l'orientamento, la formazione e l'inserimento professionale, anche
all'estero, le scuole e gli istituti scolastici di istruzione secondaria, su
richiesta degli interessati, possono comunicare o diffondere, anche a
privati e per via telematica, dati relativi agli esiti scolastici, intermedi e
finali, degli studenti e altri dati personali diversi da quelli sensibili o
giudiziari, pertinenti in relazione alle predette finalit e indicati
nell'informativa resa agli interessati ai sensi dell'articolo 13. I dati
possono essere successivamente trattati esclusivamente per le
predette finalit. 2. Resta ferma la disposizione di cui all'articolo 2,
comma 2, del decreto del Presidente della Repubblica 24 giugno 1998,
n. 249, sulla tutela del diritto dello studente alla riservatezza. Restano
altres ferme le vigenti disposizioni in materia di pubblicazione dell'esito
degli esami mediante affissione nell'albo dell'istituto e di rilascio di
diplomi e certificati.

Corso Privacy

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Corso Privacy

Uploaded by

Copyright:

Available Formats

Il Trattamento dei dati a scuola

tra Trasparenza e Riservatezza

Per privacy sintende comunemente il diritto della persona di impedire

Ma come si fa a parlare di privacy con telefonini che rivelano la nostra

Per la mia generazione la privacy non un valore.

Quindi , non solo la nostra Privacy ad essere in

E quindi importante , soprattutto per dei pubblici

I giudici chiamati a pronunciarsi in merito allesistenza di un diritto ad

Lemersione di un diritto soggettivo al controllo sulle informazioni,

Tale disposizione (meglio nota come legge sulla privacy) stata

Unattivit -seppur meritoria ed opportuna -pu essere

(art.1) Chiunque ha diritto alla protezione dei dati

(art.2)Il presente testo unico, di seguito denominato "codice",

Tali informazioni sono, nella maggior parte dei

- i lavoratori impegnati nelle attivit di

- i beneficiari delle prestazioni : gli studenti le

- Nel rispetto delle norme e dei valori assunti dal

- Con la possibilit di controllare la circolazione delle

Art. 161 Informativa all'interessato omessa o non

i dati.ai sensi dellart.4 del Codice

Quali sono gli scopi e le

Quali sono i diritti riconosciuti all'interessato

Se i dati sono presso

Il diritto di opporsi, per motivi

Il diritto di opporsi al trattamento dei propri dati

Lart.4, comma 1, lett. f) del Codice delinea la

Lart.4, comma 1, lett. g) del Codice, precisa

ove si ha un trattamento dei dati, mentre

la designazione del responsabile deve essere

Vengono di seguito indicate le misure operative da adottare per

Consiglio distituto Direttore amministrativo

Docenti Assistenti Amministrativi Collaboratori Scolastici

Area affari generali

Cartaceo DATI PERSONALI

Cartaceo DATI SENSIBILI

Art.22 comma 7: i dati relativi allo stato di

Cartaceo COMUNICAZIONE dati personali

Cartaceo COMUNICAZIONE dati personali

Invio registri Ambito Territoriale

Cartaceo COMUNICAZIONE dati sensibili

Diagnosi Funzionale > Docenti Gruppo Handicap

Stato di salute > Personale di mensa

Convinzioni religiose > Docenti Consiglio Classe

Cartaceo DIFFUSIONE DATI

Finalit Istituzionali > elenchi di classe

Finalit non Istituzionali > privati

N.B.= Art. 96 si possono diffondere solo su richiesta degli

Archivio > presso lufficio didattica

Archivio > luogo dove si conservano i dati

Dati informatici backup (disco da conservare in cassaforte)

Cartaceo DATI PERSONALI

Cartaceo DATI SENSIBILI

Cartaceo Elenchi del personale

Cartaceo COMUNICAZIONE dati sensibili

Pratica infortuni > INAIL Assicurazione

Stato di salute > Personale di Mensa

Convinzioni religiose > Dirigente Scolastico

Cartaceo DIFFUSIONE DATI

Finalit non Istituzionali > privati

Archivio > presso lufficio del personale

Archivio > luogo dove si conservano i dati

Dati informatici backup (disco da conservare in cassaforte)

Cartaceo COMUNICAZIONE dati personale