Il Garante per la protezione dei dati personali ha inviato una comunicazione al Ministro dell’Istruzione relativamente alla disciplina relativa all’impiego del registro elettronico e l’individuazione delle corrispondenti misure di garanzia, rilevando alcuni punti da affrontare in via prioritaria perché tale strumento possa consentire il corretto svolgimento dell’attività didattica in conformità con la normativa in materia di protezione dei dati personali.
Per natura ed ambito di applicazione, le attività di trattamento dei dati per mezzo del registro elettronico devono essere svolte avendo contezza degli aspetti della qualità e della sicurezza dei dati. Infatti, il registro elettronico non contiene soltanto un ampio volume di informazioni, ma anche e soprattutto dati personali riferibili a soggetti minorenni, entrambi fattori che incidono sulla scelta delle misure di sicurezza la cui adeguata predisposizione ed attuazione è obbligatoria in conformità al principio di integrità e riservatezza (art. 5.1 lett. f) GDPR).
Una delle principali criticità rilevate dal Garante viene indicata nella grande disomogeneità nei processi di selezione e dunque nella conseguente disparità delle soluzioni tecnologiche adottate dai vari istituti scolastici, che ha portato ad una mancata standardizzazione e al mancato raggiungimento diffuso di quel livello di sicurezza adeguato richiesto dalla norma. Viene inoltre evidenziato che in molti casi sono stati spesso adottati strumenti vulnerabili o comunque non in grado di fornire le adeguate tutele relative alla protezione dei dati personali, esponendo così i dati a tutti i rischi propri del contesto digitale.
Richiamata così l’attenzione su un’esigenza cogente di sicurezza, resa ancor più evidente dalla situazione di emergenza da COVID-19 e dallo svolgimento delle attività didattiche a distanza, la soluzione percorribile proposta consisterebbe nell’attuazione da parte del Ministero del “Piano per la dematerializzazione delle procedure amministrative in materia di istruzione, università e ricerca e dei rapporti con le comunità dei docenti, del personale, studenti e famiglie” previsto dalla L. 7 agosto 2012, n. 135. Attraverso l’adozione di direttive specifiche sarebbe infatti possibile fornire ai singoli istituti scolastici criteri e parametri di sicurezza da adottare come indicatori per la selezione delle soluzioni tecnologiche più adeguate, guidandoli verso un più elevato livello di conformità e sicurezza delle attività di trattamento dei dati personali svolte attraverso lo strumento del registro elettronico.
L’invito così rivolto dall’Autorità al Ministero di viale Trastevere è orientato all’auspicabile completamento del quadro normativo applicabile al registro elettronico, sia sotto il profilo della funzionalità che della sicurezza, con il proposito di assicurare agli interessati coinvolti garanzie uniformi e comunque elevate in relazione alle attività svolte sui dati personali.
È infine opportuno ricordare che ai sensi del GDPR ciascun istituto scolastico opera quale titolare del trattamento nell’adozione e nell’impiego del registro elettronico, e dunque assume una responsabilità sotto il profilo sanzionatorio e risarcitorio sia per la selezione dei fornitori che per la conseguente contrattualizzazione dei rapporti e l’implementazione delle soluzioni tecnologiche adottate.
