Il Regolamento Generale sulla Protezione dei Dati (di seguito GDPR) dell'Unione Europea, entrato in vigore il 25 maggio 2018, segna il cambiamento normativo più significativo in materia di protezione dei dati avvenuto nell'Unione Europea negli ultimi venti anni.
Esso trasforma in modo essenziale il modo in cui le Pubbliche Amministrazioni, e tra queste la scuola, gestiscono e proteggono i dati personali che trattano.
In Italia, l'adeguamento della normativa nazionale alle disposizione del GDPR è avvenuto mediante il D. Lgs n. 101 del 10 agosto 2018, pubblicato in Gazzetta Ufficiale il 4 settembre 2018.
L'assolvimento degli obblighi derivanti dall'entrata in vigore del GDPR prevede specifiche competenze in merito alle procedure ed ai sistemi di gestione dei dati strettamente connessi al mondo scolastico.
Tra le numerose e significative novità introdotte dal GDPR, vi è l’obbligo per tutte le Pubbliche Amministrazioni di designare, ai sensi dell’art. 37, una figura del tutto nuova, e cioè il Responsabile della protezione dei dati, detto anche DPO ovvero Data Protection Officer.
In questa pagina, in applicazione della recente normativa, si pubblicano di seguito le informazioni essenziali a beneficio dei dipendenti, degli alunni, delle famiglie e dei fornitori.
INFORMAZIONI DI BASE
- TITOLARE DEL TRATTAMENTO DEI DATI
Istituto Comprensivo Statale "F. Prudenzano" - Viale Mancini, 3 - Manduria
- RAPPRESENTANTE LEGALE DEL TITOLARE DEL TRATTAMENTO DEI DATI
Dirigente Scolastico, prof.ssa Anna LAGUARDIA - tel.: 099.9739063 - mail: taic84600t@istruzione.it - pec: taic84600t@pec.istruzione.it
- RESPONSABILE DELLA PROTEZIONE DEI DATI (DPO)
Edu Consulting s.r.l. - Via XX Settembre, 118 - ROMA - tel.: 06.87153238 - mail: gdpr@educonsulting.it
- REFERENTE DEL DPO
Dott. Gianluca Apicella Fiorentino - Via G. Aprile, 9d - Lecce - tel.: 0832.352290 - mail dpo@apicellasistemi.it - pec: apicellasistemi@pec.it
ORGANIGRAMMA DELLA PRIVACY
- Consulta l'Organigramma Privacy dell'I.C. "F. Prudenzano"
INFORMATIVE
- Informativa al personale dell'I.C. "F. Prudenzano"
- Informativa agli alunni ed alle famiglie
- Informativa INVALSI ai fini della rilevazione degli apprendimenti
- Informativa ai fornitori
- Informativa G SUITE FOR EDUCATION a docenti e personale ATA
- Informativa G SUITE FOR EDUCATION a genitori e tutori
- Informativa sula trattamento dei dati nell'ambito del servizio Pago In Rete
- Informativa trattamento dati effettuato per finalità di prevenzione e contenimento COVID-19
- Informativa trattamento dati effettuato per finalità di prevenzione e contenimento COVID-19 aggiornata al D.L. n. 172 del 29.11.2021
- Informativa trattamento dati personali per verifica obbligo vaccinale anti Covid 19 - Personale docente e ATA
- Informativa e delega per la gestione dei casi di positività Covid 19
- Informativa trattamento dati personali - Iscrizioni per l'anno scolastico 2022-2023
- Informativa trattamento dati personali per la verifica dei requisiti ex D.L. n. 5 del 04.02.2022
- Informativa e consenso informato per sportello psicologico - alunni minori
INCARICHI
- Individuazione del Data Protection Officer - Edu Consulting s.r.l.
- Designazione del Responsabile interno del trattamento dei dati - DSGA Maria Antonietta Modeo
- Designazione dell'amministratore di sistema - prof. Giovanni Carrozzo
- Designazione del responsabile accessibilità informatica e pubblicazione contenuti sul sito web - prof. Giovanni Carrozzo
- Designazione Docenti incaricati/autorizzati della protezione dei dati personali
- Designazione Assistenti Amministrativi incaricati/autorizzati della protezione dei dati personali
- Designazione Collaboratori Scolastici e personale ausiliario incaricati/autorizzati della protezione dei dati personali
PRIVACY POLICY PER IL SITO WEB ISTITUZIONALE
L'I. C. "F. Prudenzano" modificherà di volta in volta la suddetta Privacy Policy. Qualora gli interventi di modifica risultassero sostanziali per il trattamento dei dati degli utenti, si provvederà contestualmente alla modifica della presente pagina.
DATA BREACH
Una seconda significativa novità introdotta dal GDPR riguarda l'argomento "data breach", ossia l’obbligo per tutti i soggetti, sia pubblici che privati, di notificare al Garante per la protezione dei dati personali, entro 72 ore, alcune tipologie di evento riconducibili alla fattispecie di violazione dei dati personali, meglio conosciuta nel linguaggio giuridico come "data breach".
E’ pertanto necessario che tutti sappiano precisamente che cosa è una violazione dei dati personali, e le varie forme attraverso le quali tale evento può accadere.
Il GDPR all’art. 4 punto 12), fornisce la seguente definizione di violazione dei dati personali:
“la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati”.
Tale definizione contempla non solo le fattispecie in cui vi sia stato un accesso abusivo ai dati personali, ma anche il caso di distruzione o perdita dei dati personali, oppure la casistica di dati personali o sensibili comunicati o portati a conoscenza di soggetti, interni o esterni all’Istituto, non autorizzati o non titolati.
Tra le casistiche di violazione dei dati personali che si possono verificare possiamo citare le seguenti:
- smarrimento di una chiavetta USB contenente dati personali
- furto di PC o tablet contenenti dati personali
- violazione del Registro elettronico
- smarrimento o furto di verifiche degli alunni
- non custodire adeguatamente i dati vaccinali
- portare a conoscenza dati di un alunno al genitore per il quale sia stato emesso un Provvedimento da parte del Tribunale dei minori di revoca della potestà genitoriale
- soddisfare una richiesta di accesso agli atti, che comporti la violazione della privacy del c.d. “controinteressati”
- pubblicare dati personali eccedenti rispetto a quelli strettamente indispensabili per il raggiungimento delle finalità.
E’ importante inoltre ricordare che la violazione dei dati personali non riguarda solo i dati in formato elettronico, ma può riguardare anche i dati in formato cartaceo; questa seconda casistica, anzi, è la più critica da gestire, in quanto se vi fosse la perdita o il furto di fascicoli cartacei contenenti dati personali, tale evenienza potrebbe essere molto difficile da rilevare.
Nel dettaglio, l’art. 33 del Regolamento UE 2016/679 prevede:
1. In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.
2. Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione.
3. La notifica di cui al paragrafo 1 deve almeno:
a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
c) descrivere le probabili conseguenze della violazione dei dati personali;
d) descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
4. Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo.
5. Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all'autorità di controllo di verificare il rispetto del presente articolo.”
Inoltre, l’art. 34 del Regolamento UE 2016/679 prevede:
1. Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo.
2. La comunicazione all'interessato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all'articolo 33, paragrafo 3, lettere b), c) e d).
3. Non è richiesta la comunicazione all'interessato di cui al paragrafo 1 se è soddisfatta una delle seguenti condizioni:
- il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
- il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1;
- detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.
Si chiede, pertanto, di porre la massima attenzione nel monitorare e rilevare tempestivamente tutti gli eventi di violazione dei dati personali, e comunicarli immediatamente al Dirigente Scolastico, il quale provvederà ad informare tempestivamente il DPO, che provvederà ad effettuare tutte le valutazioni del caso di concerto con il Dirigente Scolastico ed a predisporre, se ve ne siano i presupposti, la notificazione da effettuare entro 72 ore all’Autorità di Controllo nazionale (Garante per la protezione dei dati personali). Si ricorda che la tardiva od omessa notificazione al Garante di un evento di tipo “violazione dei dati personali” è punita con la sanzione amministrativa pecuniaria fino a 10.000.000,00 di Euro, ai sensi dell’art. 83 comma 4 lettera a) del Regolamento Europeo.
Nel caso in cui il titolare del trattamento non abbia ancora comunicato all'interessato la violazione dei dati personali, l'autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda o può decidere che una delle condizioni di cui al paragrafo 3 è soddisfatta.”
In relazione all'utilizzo dei propri dati da parte dell'Amministrazione, gli interessati hanno diritto alle seguenti richieste:
- per l'accesso ai propri dati personali (consulta l'Istanza di accesso ai dati personali);
- per la richiesta di interventi di aggiornamento/rettifica/cancellazione dei dati personali (consulta l'Istanza di Intervento sui dati personali);
- per l'opposizione, per motivi legittimi, al trattamento dei propri dati personali (consulta l'Istanza di opposizionbe al trattamento dei dati personali).
Le richieste andranno indirizzate a: I.C. "F. Prudenzano" - tel.: 099.9739063 - mail: taic84600t@istruzione.it - pec: taic84600t@pec.istruzione.it
NORMATIVA DI RIFERIMENTO
- Regolamento Europeo 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati
- D. Lgs n. 101 del 10.08.2018 - Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Regolamento Europeo 2016/679
CONTRIBUTI DEL GARANTE PRIVACY
SLIDE RELATIVE AL CORSO DI FORMAZIONE DEL 25.09.2018
- A scuola di Privacy con il Regolamento UE 2016/679 - a cura del dott. Gianluca Apicella Fiorentino