L’annunciata ed imminente riapertura impatta inevitabilmente sull’organizzazione degli istituti scolastici per la gestione degli adempimenti in materia di protezione dei dati personali. Siamo sicuri che questo aspetto, tutt’altro che secondario, non venga diffusamente trascurato?
Insomma: il Garante aveva già segnalato al MIUR le criticità di sicurezza relative ai registri elettronici, e l’organizzazione della didattica a distanza è stata occasione per discutere delle evidenti difficoltà nel selezionare ed impiegare strumenti in modo sicuro. Certamente, molti diranno che in ragione dello stato di emergenza “qualcosa andava fatto”, omettendo un particolare significante e significativo: che era comunque possibile fare quel qualcosa in modo corretto e conforme alla legge. Occorre ricordare che la conformità alla normativa in materia di protezione dei dati personali è orientata alla tutela sostanziale ed effettiva degli interessati, e nel caso di minori di soggetti particolarmente vulnerabili e meritevoli di particolari e specifiche tutele.
Molte scuole erano però già impreparate sotto il profilo della sicurezza, oltre che non conformi alle prescrizioni del GDPR. Lo stato di emergenza non è purtroppo stato un’occasione di miglioramento nonostante le molteplici implicazioni riguardanti la gestione dei dati personali quali, ad esempio, quelle derivanti dall’organizzazione della didattica a distanza, la progettazione di sistemi e metodi per il controllo e la registrazione degli accessi, e la risposta alle “raccomandazioni” circa l’utilizzo di IMMUNI.
In questo scenario, una domanda è d’obbligo: dove sono i DPO?
Tutt’ora molti istituti scolastici non hanno provveduto, nonostante l’obbligo incombente da oltre 2 anni, alla designazione del DPO. Alcuni hanno invece provveduto a nomine meramente formali, senza garantire un effettivo svolgimento della funzione.
Quali conseguenze si prospettano, al di là della violazione del GDPR e l’esposizione all’applicazione delle conseguenti sanzioni?
È bene ricordare che la funzione del DPO ha compiti fondamentali di garanzia e tutela nei confronti degli interessati, in quanto costituisce un punto di contatto per tutte le questioni connesse al trattamento dei dati personali e facilita l’osservanza del GDPR e il mantenimento di un livello di sicurezza adeguato al rischio da parte del titolare per le attività svolte sui dati personali.
In che modo, dunque, un istituto scolastico può garantire un elevato livello di tutela agli studenti se tale figura manca, è inadeguata o altrimenti non viene adeguatamente coinvolta?
Le famiglie possono (e anzi, devono) pretendere risposte da parte delle scuole a tale riguardo. Insomma: si spera che chiamando all’appello il DPO qualcuno quanto meno risponda. E che poi sia effettivamente presente nel corso dell’anno, assolvendo gli oneri e meritando gli onori del proprio ruolo.
