FAQ – Frequently Asked Questions

Come possiamo gestire G-Suite for Education di Google?

Oltre alle condizioni presenti nel contratto, Google afferma di rispondere ai requisiti del GDPR e di aver predisposto un percorso di conformità. Comunque, per l’iscrizione dei minori ai diversi servizi offerti, come Google Classroom, Drive, Gmail, YouTube è necessario chiedere il consenso alle famiglie e si consiglia di condividere solo i dati personali necessari all’iscrizione, evitando di pubblicare informazioni eccedenti. Da evitare la condivisione di documenti contenenti dati relativi alla salute, come i PDP.

Da ricordare inoltre che le condizioni previste da Google per l’accesso degli allievi prevede un’età minima di 14 anni per l’Italia.

Possiamo utilizzare un canale YouTube privato?

Qualora si intenda utilizzare un canale YouTube per fini scolastici è opportuno avvalersi di G-Suite for Education e, in caso di video dove sono ripresi i propri studenti, accertarsi che per ogni studente siano stati firmati consenso e liberatoria da parte dei genitori.

Possiamo pubblicare sulla pagina Facebook della scuola?

Una pagina Facebook della scuola invece non ha le stesse protezioni di Google e quindi, trattandosi di diffusione di dati personali, di possibile trattamento dati fuori UE, con la sola adesione agli accordi Usa-UE detti shield, va gestita con cautela e bisogna evitare di inserire dati personali e immagini dei ragazzi.

È corretto creare un gruppo WhatsApp con i genitori per le comunicazioni con le famiglie?

Le comunicazioni con WhatsApp, visto che i numeri delle rubriche e i dati potrebbero essere inviati fuori UE, sono sotto la responsabilità del singolo, il titolare del numero telefonico, che deve evitare di trattare dati personali senza autorizzazioni.  Se il numero è intestato alla scuola, va richiesta un’autorizzazione per trattare i numeri di telefono delle famiglie e inviare solo comunicazioni che non trattino dati personali. Se il numero è del singolo soggetto deve chiedere l’autorizzazione per creare il gruppo.

Possiamo utilizzare le mail degli studenti composte con il nome e il cognome (ad esempio )?

Si, con consenso. L’importante poi è che venga utilizzata in un ambiente ristretto e non venga diffusa. Tra questi ambienti ci sono anche i portali dei libri, Aica, ecc.

È importante che nell’acquisizione del consenso venga comunicata la corretta informazione in merito all’utilizzo.

Possiamo utilizzare un’unica liberatoria per più finalità (es. foto/video per recite, immagini televisive, giornali ecc.)?

Si può fare, ma prevedendo la possibilità di scegliere se acconsentire singolarmente alle une o alle altre.

È possibile comunicare gli elenchi con i nominativi degli studenti ad altre scuole per l’orientamento in modo che le altre scuole possano inviare loro del materiale informativo?

Senza consenso del ragazzo/genitore non è proprio possibile. È molto più semplice far arrivare direttamente alla scuola il materiale informativo e distribuirlo. Meno informazioni girano e meno rischi si corrono.

Alcuni Enti Pubblici come l’UMEE inviano per posta elettronica nominativi di famiglie e di studenti che sono necessarie per le certificazioni DSA o H. Come devono essere trattati questi dati?

L’UMEE dovrebbe almeno criptare la documentazione poiché la posta elettronica ha il livello di sicurezza equivalente a una “cartolina postale”. Nel caso di invii non corretti, segnalate l’accaduto al DPO.

Come possiamo condividere tra docenti la documentazione relativa ai PDP?

La soluzione migliore è l’utilizzo del Registro o di sistemi di file hosting istituzionali. Se si vuole utilizzare la posta elettronica va utilizzata @istruzione.it avendo cura che i destinatari non effettuino re-invii (o relay) su altri indirizzi e in particolari su smartphone.

Nel caso non sia possibile o non vi sia la disponibilità degli strumenti, è necessario provvedere alla pseudonimizzazione (es. Rossi Mario = Paperino senza riportare nel documento ulteriori informazioni utili alla correlazione con l’interessato).

Come possiamo condividere la documentazione relativa ai PDP con le famiglie?

Devono essere attuate ulteriori accortezze come la criptazione degli allegati, avendo cura di comunicare su altro media la chiave di decriptazione (evitare di inviare una mail con riportata la frase “la chiave per decriptare l’allegato documento è…”)

Come devono essere gestite le foto appese in classe o per i corridoi?

Nessun problema poiché rientrano in un ambito ristretto. Se non è eccessivamente gravosa, ad ogni modo, è sempre meglio avere sia la liberatoria che il consenso.

Come gestire il video fatto da una maestra che riprende la festa della scuola, che poi consegna alla famiglia?

Nessun problema in quanto è sempre un ambito ristretto. Se il genitore poi decide di diffonderlo su un social network, la responsabilità di quella diffusione resta in capo al genitore.

 

Le certificazioni di lingua sono pubblicate dalla società che se ne occupa, con nominativi e risultati. Come vanno gestite?

L’informativa della società che se ne occupa è necessaria e deve riportare le modalità di trattamento.

Come si gestisce il fatto che i nominativi dei ragazzi confluiscono in progetti Regionali o in piattaforme per la scuola alternanza lavoro del ministero?

Nell’informativa iniziale bisogna inserire che i dati personali comuni verranno comunicati in questi portali per obbligo di legge o adempimenti contrattuali. Nel caso dell’Alternanza Scuola-Lavoro, sarà la stessa azienda interessata, poi, che dovrà dare l’informativa ai genitori del minore su come tratterà i dati dei ragazzi.

È possibile effettuare il caricamento sul sito della scuola di immagini dei ragazzi senza consenso?

Può essere fatta solo oscurando/sfocando i volti o facendo delle foto “di contesto”, che non rendano il soggetto direttamente identificabile come negli esempi presenti nell’Allegato 3.

Posso proibire l’utilizzo del cellulare a scuola?

Non si può costringere un ragazzo a non portare un cellulare a scuola. Si può prevedere nel Regolamento interno dell’Istituto che in classe ne sia vietato l’utilizzo durante l’orario di lezione.

Di fronte a un genitore che a voce mi dice che sono modificati i termini dell’affidamento condiviso, devo modificare il modo di agire dell’istituto?

No, al massimo si può chiedere di fornire un documento ufficiale da mettere agli atti che attesti quanto lo stesso sta dichiarando.

È conforme al Regolamento la pubblicazione sul sito istituzionale dei dati dei minori?

Le Scuole devono pubblicare on line solo dati la cui pubblicazione risulti realmente necessaria e prevista dalle norme. È sempre vietata la pubblicazione di dati sulla salute e sulla vita sessuale. I dati particolari (etnia, religione, appartenenze politiche etc.) possono essere diffusi solo laddove indispensabili al perseguimento delle finalità di rilevante interesse pubblico. Occorre adottare misure per impedire la indicizzazione dei dati delicati da parte dei motori di ricerca e il loro riutilizzo. Qualora si intendano pubblicare dati personali ulteriori rispetto a quelli individuati nel decreto legislativo n. 33/2013 sulla trasparenza, si deve procedere prima all’anonimizzazione di questi dati, evitando soluzioni che consentano l’identificazione, anche indiretta o a posteriori, dell’interessato.

È necessario pubblicare negli atti solo quei dati personali realmente necessari e proporzionati alla finalità di trasparenza perseguita.

È vietato pubblicare l’elenco degli alunni sul sito della scuola?

A decretarlo è il Garante per la protezione dei dati personali con il provvedimento n. 383 del 6

dicembre 2012, il quale ha sostenuto che “la diffusione da parte di un soggetto pubblico è ammessa unicamente quando prevista da una norma di legge o da un regolamento”.

Pertanto, ha dichiarato “l’illiceità della diffusione di dati personali in esame, in quanto effettuata dal Liceo in assenza di una norma di legge o di regolamento che la ammetta”.

Come devono essere gestite la ripresa di immagini e le registrazioni a scuola?

L’uso di cellulari e smartphones è in genere consentito per fini strettamente personali, ad esempio

per registrare le lezioni, e sempre nel rispetto delle persone. Spetta, comunque, agli istituti scolastici decidere nella loro autonomia come regolamentare o se vietare del tutto l’uso dei cellulari. Non si possono diffondere immagini, video o foto sul web se non con il consenso delle persone riprese. È bene ricordare che la diffusione di filmati e foto che ledono la riservatezza e la dignità delle persone può far incorrere lo studente in sanzioni disciplinari e pecuniarie, o perfino in veri e propri reati.

Stesse cautele vanno previste per l’uso dei tablet, se usati a fini di registrazione e non soltanto per fini didattici o per consultare in classe libri elettronici e testi on line.

Come devono essere gestiti i questionari per attività di ricerca?

L’attività di ricerca con la raccolta di informazioni personali tramite questionari da sottoporre agli

studenti è consentita solo se ragazzi e genitori sono stati prima informati sugli scopi della ricerca, le modalità del trattamento e le misure di sicurezza adottate. Gli studenti e i genitori devono essere lasciati liberi di non aderire all’iniziativa.

L’informativa è proprio necessaria?

Le scuole devono rendere noto alle famiglie e ai ragazzi, attraverso un’adeguata informativa, quali dati raccolgono e come li utilizzano. Spesso le scuole utilizzano nella loro attività quotidiana dati particolari – come quelli riguardanti le origini etniche, le convinzioni religiose, lo stato di salute – anche per fornire semplici servizi, come ad esempio la mensa. È bene ricordare che nel trattare queste categorie di informazioni gli istituti scolastici devono porre estrema cautela, in conformità al regolamento sui dati sensibili adottato dal Ministero dell’istruzione. Famiglie e studenti hanno diritto di conoscere quali informazioni sono trattate dall’istituto scolastico, farle rettificare se inesatte, incomplete o non aggiornate.

Le scuole non possono pubblicare graduatorie on line con dati personali e sensibili?

Le scuole non possono pubblicare on line numeri di telefono, codice fiscale o indirizzo del personale della scuola. Tutte le graduatorie, sia di docenti che di ATA, devono essere ripulite dai dati personali. Il Garante della Privacy ha accertato, dopo una ricerca sui siti web scolastici, che tali dati erano stati resi, tra l’altro, indicizzabili, il che vuol dire che sono raggiungibili anche solo digitando il nome su Internet. Il Garante, con il provvedimento del 2 marzo 2011 n. 88 (Linee guida in materia di trattamento di dati personali contenuto anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web), ha stabilito che le graduatorie devono contenere solo i dati strettamente necessari all’individuazione del candidato: nome, cognome, punteggio e posizione in graduatoria. Tutti gli altri dati, come indirizzo, telefono, non possono essere diffusi, per evitare abusi, compreso il furto di identità.

Come provvedo all’obbligo di informativa privacy quando effettuo le Prove INVALSI?

L’INVALSI pubblica sul proprio sito l’informativa sul trattamento dei dati personali degli studenti coinvolti nelle prove nazionali.

L’informativa spiega le modalità delle prove cui saranno sottoposti gli studenti ed è indirizzata ai genitori. Si ribadisce quanto già messo in atto nelle prove degli anni passati, cioè: uso delle etichette con i codici della scuola, del plesso, del livello di classe e sezione sui fascicoli contenenti i testi delle prove saranno apposte etichette recanti i codici identificativi della scuola, del plesso, del livello di classe frequentata, della sezione e dello studente.

Come devo gestire l’indicizzazione dei motori di ricerca (come Google) del sito web istituzionale? E dell’Albo Pretorio?

Esiste l’obbligo di “indicizzare” i contenuti pubblicati tramite motori di ricerca generalisti (es. Google) per garantire la dovuta trasparenza ma è limitato ai soli dati tassativamente individuati dalle norme in materia di trasparenza.
Devono essere sottratti all’indicizzazione i dati sensibili e giudiziari contenuti negli atti pubblicati nell’albo pretorio online, includendo no index, no archive del “robot exclusion protocol”.
Inoltre, nella sezione “Amministrazione trasparente” è necessario inserire un avvertimento generale con il quale si informa i visitatori che i dati personali pubblicati sono “riutilizzabili solo alle condizioni previste dalla normativa vigente sul riuso dei dati pubblici (…), in termini compatibili con gli scopi per i quali sono stati raccolti e registrati, e nel rispetto della normativa in materia di protezione dei dati personali”.
Da tenere ben presente che è sempre valido il principio di pertinenza e non eccedenza, rispettare i limiti temporali previsti dalla normativa di riferimento o al massimo fino al raggiungimento dello scopo per il quale l’atto è stato adottato e i dati resi pubblici. Vale anche il principio inverso per cui se la finalità è stata raggiunta il documento deve essere de-pubblicato.
È necessario rendere non intelligibili i dati personali non pertinenti o, se sensibili o giudiziari, non indispensabili rispetto alle specifiche finalità di trasparenza della pubblicazione.

È necessario bilanciare le disposizioni sulla trasparenza con quelle in materia di privacy?

Sì. Con l’adozione di apposite Linee guida (provvedimento del 15 maggio 2014), il Garante è intervenuto proprio per assicurare l’osservanza della disciplina in materia di protezione dei dati personali nell’adempimento degli obblighi di pubblicazione sul web di atti e documenti.

Le linee guida hanno lo scopo di individuare le cautele che i soggetti pubblici sono tenuti ad applicare nei casi in cui effettuano attività di diffusione di dati personali sui propri siti web istituzionali per finalità di trasparenza o per altre finalità di pubblicità dell’azione amministrativa.

Quali sono gli obblighi di pubblicazione per finalità di trasparenza?

Sono quelli, indicati principalmente nel decreto trasparenza, che riguardano l’organizzazione e l’attività delle pubbliche amministrazioni. Comprendono, ad esempio: i dati relativi agli organi di indirizzo politico e di amministrazione e gestione; i dati sull’articolazione degli uffici, sulle competenze e sulle risorse a disposizione di ciascun ufficio, anche di livello dirigenziale non generale; i nomi dei dirigenti responsabili dei singoli uffici; l’illustrazione in forma semplificata dell’organizzazione dell’amministrazione (es. mediante l’organigramma); l’elenco dei numeri di telefono nonché delle caselle di posta elettronica cui il cittadino possa rivolgersi (avendo l’accortezza di mascherare l’indirizzo in modo che i bot non lo identifichino, ad esempio con nome (at) dominio.it).

Le Scuole possono pubblicare qualunque dato e informazione personale per finalità di trasparenza?

No. Vale la regola generale per la quale i soggetti pubblici possono diffondere dati personali solo se ciò è ammesso da una specifica disposizione di legge o di regolamento.

Quali sono i limiti agli obblighi di pubblicazione online di atti e documenti contenenti dati personali?

Dopo aver verificato la sussistenza dell’obbligo di pubblicazione dell’atto o del documento nel proprio sito web istituzionale, il soggetto pubblico deve limitarsi a includere negli atti da pubblicare solo quei dati personali realmente necessari e proporzionati alla finalità di trasparenza perseguita nel caso concreto.

Se sono sensibili (ossia idonei a rivelare ad esempio l’origine razziale ed etnica, le convinzioni religiose, le opinioni politiche, l’adesione a partiti o sindacati, lo stato di salute e la vita sessuale) o relativi a procedimenti giudiziari, i dati possono essere trattati solo se indispensabili, ossia se la finalità di trasparenza non può essere conseguita con dati anonimi o dati personali di natura diversa.

Cosa deve fare una Scuola prima di pubblicare un documento?

Prima di procedere alla pubblicazione sul proprio sito web deve:

  • individuare se esiste un presupposto di legge o di regolamento che legittima la diffusione del documento o del dato personale;
  • verificare, caso per caso, se ricorrono i presupposti per l’oscuramento di determinate informazioni;
  • sottrarre all’indicizzazione (cioè alla reperibilità sulla rete da parte dei motori di ricerca) i dati sensibili e giudiziari, come ricordato al punto precedente.
Quali dati personali non vanno pubblicati online?

È vietato diffondere dati personali idonei a rivelare lo stato di salute o informazioni da cui si possa desumere, anche indirettamente, lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici.

Il Garante ha più volte ribadito la necessità di garantire il rispetto della dignità delle persone, facendo oscurare, ad esempio, dai siti web di diversi Comuni italiani i dati personali contenuti nelle ordinanze con le quali i sindaci disponevano il trattamento sanitario obbligatorio per determinati cittadini.

Si possono diffondere dati ulteriori rispetto a quelli per i quali è prevista la pubblicazione obbligatoria?

No, a meno che tali dati non vengano resi effettivamente anonimi e non vi sia più la possibilità di identificare gli interessati, nemmeno indirettamente e in un momento successivo.

Come si attua l’anonimizzazione?

Per anonimizzare un documento non basta sostituire il nome e cognome con le iniziali dell’interessato ma occorre oscurare del tutto il nominativo e le altre informazioni riferite all’interessato che ne possono consentire l’identificazione anche a posteriori.

È prevista una durata della pubblicazione?

Sì. Il decreto trasparenza pone un termine generale di mantenimento online delle informazioni pari a 5 anni. È bene sottolineare che, in ogni caso, una volta raggiunti gli scopi per i quali i dati personali sono stati resi pubblici, gli stessi devono essere oscurati anche prima del termine dei 5 anni.

Come deve essere gestita la pubblicazione dei curricula professionali?

Prima di pubblicare sul sito istituzionale i curricula, il Titolare del trattamento dovrà pertanto operare un’attenta selezione dei dati in essi contenuti, se del caso predisponendo modelli omogenei e impartendo opportune istruzioni agli interessati (che, in concreto, possono essere chiamati a predisporre il proprio curriculum in vista della sua pubblicazione per le menzionate finalità di trasparenza).

In tale prospettiva, sono pertinenti le informazioni riguardanti i titoli di studio e professionali, le esperienze lavorative (ad esempio, gli incarichi ricoperti), nonché ulteriori informazioni di carattere professionale (si pensi alle conoscenze linguistiche oppure alle competenze nell’uso delle tecnologie, come pure alla partecipazione a convegni e seminari oppure alla redazione di pubblicazioni da parte dell’interessato). Non devono formare invece oggetto di pubblicazione dati eccedenti, quali ad esempio i recapiti personali oppure il codice fiscale degli interessati, ciò anche al fine di ridurre il rischio di c.d. furti di identità.

Start typing and press Enter to search