La sala di lettura di Valore Scuola

Laura Tognocchi Il lavoro dell`assistente amministrativo pp. 120 - euro 10

Indice



La protezione dei dati personali

Il “diritto alla protezione dei dati personali” quale prerogativa fondamentale della persona, aggiornando ed ampliando la disciplina della legge n. 675 del
31/12/1996, è stato sancito dal Decreto Legislativo n. 196 del 30/06/2003 (Codice in materia di protezione dei dati personali o Codice Privacy) in attuazione dell’art. 8 della Carta dei Diritti Fondamentali dell’Unione Europea del 7 dicembre 2000 e deve considerarsi quale diritto nuovo rispetto al semplice diritto alla riservatezza.
La prima regola del Codice Privacy, entrato in vigore il 1. gennaio 2004, è: «Chiunque ha diritto alla protezione dei dati personali che lo riguardano. Il presente testo unico garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali. Il trattamento dei dati personali è disciplinato assicurando un elevato livello di tutela dei diritti e delle libertà». Il Codice Privacy è suddiviso in tre parti:
– la prima (artt. da 1 a 45) raccoglie le disposizioni generali riferibili a qualunque tipo di trattamento;
– la seconda (artt. da 46 a 140) riguarda la disciplina del trattamento dei dati personali in determinati settori, tra cui (artt. 95 e 96) quello dell’istruzione;
– la terza ed ultima parte contiene le norme per la tutela dei diritti degli interessati, la composizione e i compiti del Garante per la protezione dei dati personali, nonché le sanzioni di natura amministrativa e penale.
Quindi, il Codice Privacy non persegue solo la difesa della privacy, ma anche la protezione dei dati personali e introduce il diritto di ciascuno a controllare quasi completamente l’uso che gli altri possono fare di tutte le informazioni che lo riguardano.
Qualsiasi ente pubblico (o ditta privata o associazione etc.) può utilizzare informazioni o dati su un cittadino, ma solo rispettando queste condizioni:
– prima di cominciare ad usarli deve informare il cittadino stesso degli scopi esatti per cui li chiede, delle modalità con cui li tratterà e a chi li comunicherà;
– il cittadino deve essere d’accordo (le poche deroghe riguardano solo compiti fondamentali dello Stato);
– i dati saranno usati esclusivamente per gli scopi dichiarati e solo per il tempo necessario a raggiungerli;
– i dati saranno custoditi con la massima cura proteggendoli da furti, fughe di notizie e accessi non autorizzati di qualsiasi sorta;
– in qualsiasi momento, su richiesta del cittadino, l’ente o la ditta deve mostrargli tutte le informazioni che detiene su di lui ed eliminarle o correggerle, se lui lo chiede.
In sostanza, ogni informazione su una persona è data dal legittimo proprietario in uso temporaneo all’ente o ditta che la utilizza, come se fosse in base a un contratto, quindi con condizioni chiare, per uno scopo dichiarato e regole da osservare.
L’ente o la ditta che ha temporaneamente in uso il dato risponde non solo della “fuga di notizie”, ma anche del furto o della semplice perdita di tale dato. Inoltre, risponde se acquisisce il dato senza averne diritto, se lo
comunica quando o a chi non è consentito o se lo trattiene quando il diritto di detenerlo è cessato. Infine, se il proprietario del dato vuol fare un’ispezione sul suo uso, deve essere accontentato in tempi rapidi.
Ma prima di entrare nel merito delle prescrizioni relative al trattamento o al possesso dei dati, è opportuno procedere ad una loro classificazione.
Premesso che un dato personale è una qualunque informazione, espressa in ogni forma (cartacea, elettronica, ecc), relativa a persona fisica, giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, il Codice privacy, tenendo conto del loro diverso livello di protezione, li classifica in:
– dati identificativi, che permettono semplicemente l’identificazione diretta dell’interessato (ad es. cognome e nome, codice fiscale, codice sanitario, ecc.);
– dati comuni o ordinari, una qualunque informazione relativa a persona fisica o giuridica identificata o identificabile;
– dati sensibili, dati personali idonei a rivelare direttamente o indirettamente:
– l’origine razziale ed etnica
– le convinzioni religiose, filosofiche o di altro genere
– le opinioni politiche
– l’adesione a partiti e/o a sindacati
– l’adesione ad associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale
– lo stato di salute (compresi stati quali: handicap, menomazioni fisiche, gravidanza e puerperio, dati genetici e biometrici, infortuni)
– la vita sessuale (compresi cambio di sesso, omosessualità, inclinazioni particolari);
– dati giudiziari, dati personali idonei a rivelare direttamente o indirettamente l’iscrizione nel casellario giudiziale a seguito di condanna penale (compresa l’iscrizione nell’anagrafe delle sanzioni amministrative dipendenti da reato), oppure lo stato di imputato o di indagato.
La classificazione di un dato come sensibile o giudiziario comporta conseguenze pratiche e giuridiche discriminanti rispetto ai dati comuni.
Se un dato personale è “sensibile” o “giudiziario” scattano per il suo trattamento regole particolari, e molto spesso impegnative, riguardo a:
– condizioni che rendono legittime certe operazioni (es. la comunicazione o la diffusione) oppure il relativo trattamento. Per autorizzare la raccolta stessa del dato e il suo trattamento in alcuni casi è necessaria una specifica
normativa o un regolamento legislativo oppure una particolare autorizzazione del Garante per la protezione dei dati personali);
– tipo di informativa da dare all’interessato;
– custodia con misure di sicurezza adeguate alla delicatezza dell’informazione da proteggere (per esempio i dati relativi alla salute registrati in un computer devono essere cifrati).
La violazione di queste regole inibisce automaticamente l’uso dei dati e comporta sanzioni estremamente pesanti.
Un errore di classificazione può, quindi, comportare violazioni conseguenti, punite con sanzioni amministrative o penali severissime e con risarcimento dei danni materiali e morali subiti dall’interessato.
Queste ultime brevi considerazioni sulle varie tipologie dei dati ci fanno già capire quale sia la delicatezza e la complessità organizzativo-gestionale nella protezione dei dati personali.
Da una parte, infatti, il Codice privacy prevede che in una unità lavorativa (ad esempio in una scuola), che si trova a dover trattare dati personali di qualunque tipo, ci si organizzi nel modo più idoneo affinché la loro conservazione, in qualunque forma (su carta, in forma elettronica, ecc.), avvenga in modo sicuro e riservato; dall’altra, al fine di poter realizzare tale
obiettivo, è necessario che, all’interno della struttura, vengano individuate con chiarezza e trasparenza le modalità organizzative, oltre alle responsabilità, alle competenze e ai limiti sui vari tipi di trattamento.
A tale scopo il Codice privacy istituisce il titolare del trattamento; il responsabile del trattamento; gli incaricati del trattamento.
Il titolare del trattamento dei dati coincide con il rappresentante legale della struttura (nel caso della scuola il dirigente scolastico), cui il Codice privacy
affida la piena responsabilità in merito, ed al quale competono i seguenti obblighi di legge:
– redazione del Documento Programmatico per la Sicurezza (DPS), di cui si parlerà più dettagliatamente in seguito; 
– eventuale nomina, con annesse specifiche istruzioni, del responsabile del trattamento dati, il quale deve possedere capacità ed affidabilità in materia di organizzazione e gestione dei trattamenti di dati personali. L’individuazione di questa figura non è obbligatoria per legge e, nel caso della scuola, quando il dirigente scolastico ritiene opportuno nominarla, quasi sempre coincide, per le sue caratteristiche professionali, con il DSGA;
– nomina, con annesse specifiche istruzioni, degli incaricati del trattamento, operazione che può essere demandata al responsabile del trattamento dati.
Per il responsabile e per gli incaricati del trattamento le istruzioni, unitamente agli atti di nomina, devono essere impartite per iscritto, con l’individuazione puntuale dei compiti assegnati e dell’ambito di trattamento consentito: diversi infatti possono essere i settori e la tipologia di dati che deve trattare un assistente amministrativo rispetto a un docente ed è quindi corretto che le varie nomine e le relative istruzioni, unitamente alle conseguenti responsabilità, siano diversificate.
Questa scheda non si soffermerà sui particolari del lavoro quotidiano degli assistenti amministrativi collegati all’argomento privacy, per i quali si rimanda al precedente capitolo “Il rispetto della riservatezza”; in conclusione mi sembra più utile analizzare la struttura ed i contenuti del DPS nella scuola, per meglio comprenderne l’importanza nel quadro della
normativa sulla riservatezza.
Il DPS, che costituisce la mappatura in termini di protezione e di trattamento dei dati della situazione esistente all’interno dell’organizzazione, con la finalità di rendere evidenti le eventuali difficoltà esistenti, è una vera e propria fotografia delle misure di sicurezza e delle scelte organizzative adottate all’interno dell’istituzione scolastica e deve contenere idonee informazioni riguardo ai seguenti elementi:
– elenco dei trattamenti di dati personali;
– distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati;
– analisi dei rischi che incombono sui dati;
– misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
– descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento;
– piano di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati
personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare;
– descrizione dei criteri da adottare per garantire misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del titolare;
– individuazione dei criteri da adottare per la cifratura o per la separazione dei dati relativi allo stato di salute e alla vita sessuale dagli altri dati personali dell’interessato.
Dalla struttura del DPS emergono con chiarezza alcuni elementi di cui ci si deve preoccupare nel trattamento e nella conservazione dei dati affidati ad una scuola:
– la predisposizione di misure tecniche idonee alla protezione dei dati (chiusura degli armadi che li contengono, installazione sulle apparecchiature informatiche di software di sicurezza – antivirus, firewall, predisposizione, anche automatica, di copie di sicurezza, ecc; utilizzo corretto di password per accedere ai personal computer,...). Si veda a questo proposito l’appendice sulla protezione informatica;
– l’organizzazione del servizio, che deve attivare specifiche procedure, spesso semplici ed elementari, tali da consentire una reale protezione dei dati personali presenti a scuola in varia forma (cartacea o elettronica): ad
esempio, non basta che si disponga di armadi dotati di serratura funzionante per la conservazione dei dati in forma cartacea, se i loro utilizzatori li lasciano tranquillamente aperti, soprattutto quando si allontanano dall’ufficio!
– l’individuazione puntuale degli incaricati del trattamento dati e la conseguente esplicitazione scritta delle relative istruzioni riguardo ai dati da essi trattati;
– una specifica opportuna formazione iniziale (e periodica di aggiornamento) rivolta agli incaricati del trattamento, da calibrare a seconda del tipo di dati da loro gestiti;

– l’adozione di misure puntuali e specifiche relative al trattamento e alla protezione dei dati sensibili o giudiziari;
– l’analisi dei rischi, finalizzata a una loro riduzione o eliminazione nel tempo, nella considerazione che il DPS deve essere aggiornato almeno annualmente.
Risulta quindi di fondamentale importanza la prima redazione del DPS, che deve essere strutturata in modo che risulti agevole apportare nel tempo tutte le modifiche che si renderanno necessarie.
Dall’esame, necessariamente sommario, della normativa sulla riservatezza emerge, infine, una ulteriore importante considerazione: la tematica privacy non deve essere considerata una incombenza che va a gravare ulteriormente gli impegni dell’unità lavorativa, va, invece, inserita in una dimensione di cultura della sicurezza per la tutela del cittadino e di chi, a qualunque titolo, conosce e trattiene dati personali e sensibili.
Sempre in tema di trattamento di dati personali, riferiti però specificamente ai soli lavoratori pubblici, è utile citare il provvedimento del Garante per la protezione dei dati personali denominato “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico”, pubblicato nella G.U. n. 161 del 13/07/2007, il cui scopo è quello di “fornire indicazioni e raccomandazioni riguardo alle operazioni di trattamento effettuate con dati personali (anche sensibili) di lavoratori alle dipendenze di lavoro pubblico”. Ad esso si rimanda per una lettura più approfondita.
 
Torna alla lista dei libri in sala di lettura