Il D.lgs. 19 aprile 2004 n. 59 in materia di scuola primaria e secondaria di primo grado, ha introdotto la figura del c.d portfolio delle competenze individuali. Si tratta di un documento che ogni scuola pubblica o privata deve redigere in riferimento ai singoli alunni, al fine di raccogliere informazioni relative agli stessi. Il Portfolio è un documento di valutazione ed orientamento che attesta i processi formativi degli alunni e ne accompagna il percorso scolastico. A seguito di numerose segnalazioni e reclami da parte di genitori, per possibile violazione della privacy in merito al trattamento dei dati personali dei figli da parte degli istituti scolastici, è intervenuto il Garante per la Protezione dei dati personali il quale, nel provvedimento del 26.07.2005 (portfolio: garanzie nei processi informativi degli alunni), ha stabilito alcune linee guida e principi informatori ai quali attenersi per la redazione del portfolio. Il punto nodale della questione va individuato nella tipologia di dati personali che sono trattati nel portfolio. Fino ad oggi non esisteva un modello standard di portfolio imposto o suggerito dal Ministero dell'Istruzione. Ciò rappresentava un evidente limite, in considerazione del fatto che in assenza di disposizioni ed indicazioni specifiche da parte del Garante della Privacy era compito dei singoli istituti scolastici provvedere alla predisposizione dei modelli standard di portfolio da utilizzare all'interno della scuola, i quali rischiavano di divergere notevolmente da un istituto all'altro. Il Garante ha individuato nel singolo Istituto scolastico frequentato dallo studente, il titolare del trattamento dei dati inseriti nel portfolio, vale a dire il soggetto a cui compete ogni decisione in ordine alle finalità e modalità di trattamento e agli strumenti utilizzati. L'Autorità Garante ha identificato 4 principi informatori a cui debbono necessariamente attenersi gli istituti scolastici nella redazione del portfolio: 1) Principio della finalità: i dati devono essere trattati esclusivamente per il raggiungimento delle finalità indicate nella legislazione di riforma del sistema scolastico o per valutare l'apprendimento ed il comportamento degli alunni, ma deve ogni caso essere evitato qualsiasi trattamento (raccolta, acquisizione, registrazione) diretto a definire un profilo psicologico degli alunni. 2) Principio della necessità: si tratta del principio sancito dall'articolo 3 del Codice della Privacy, il quale impone di ridurre al minimo l'utilizzo dei dati personali e identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possano essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità. 3) Principio di proporzionalità: i dati trattati non possono in nessun caso essere eccedenti rispetto alle finalità per le quali sono raccolti o trattati. 4) Principio di indispensabilità: è senza dubbio il principio più importante e ad avviso dello scrivente quello più delicato, in quanto diretto a limitare la raccolta ed il trattamento dei dati esclusivamente alle informazioni realmente indispensabili per la valutazione del processo formativo dello studente. Il principio della indispensabilità appare ictu oculi strettamente connesso a quello della necessità ed impone un'attenta valutazione da parte del singolo istituto scolastico circa le informazioni da acquisire e trattare, al fine di evitare, quanto più possibile, l'inserimento ed il trattamento di dati di natura sensibile, idonei a rilevare l'origine razziale ed etnica, le convinzioni religiose e lo stato di salute dell'alunno o di quei dati per la raccolta dei quali l'ordinamento impone particolari cautele (es: stato di affidamento o di adozione Legge 184/1983). Il Garante per la Protezione dei Dati Personali nel provvedimento del 26.07.2005 ha inoltre evidenziato la necessità di informare l'esercente la potestà sull'alunno circa il trattamento dei dati ed in particolare circa le modalità e finalità del trattamento, la natura obbligatoria o facoltativa del conferimento dei dati, le conseguenze di un eventuale rifiuto nel fornirli e gli estremi identificativi del titolare del trattamento (Istituto scolastico). In caso di trattamento dei dati sensibili così come definiti dall'articolo 4 lettera d) del codice della Privacy, il Garante ha regolamentato diversamente il trattamento degli stessi, a seconda che dette informazioni siano acquisite da un istituto scolastico di natura pubblica o da uno di natura privata. Per quanto concerne gli istituti scolastici privati è necessario, per poter trattare i dati sensibili, il consenso specifico, preventivo e scritto da parte del soggetto esercente la potestà sull'alunno minore. Il Garante ha inoltre ribadito l'importanza nell'ambito dell'acquisizione dei dati sensibili, del rispetto delle prescrizioni contenute nel Codice della Privacy (art. 26) e nelle autorizzazioni generali al trattamento dei dati sensibili. (autorizzazioni n. 2 e 3 del 2004). In particolare l'Autorizzazione n. 3 del 2004 (G.U. 190 del 14.08.2004), autorizza espressamente gli istituti scolastici al trattamento dei dati sensibili, limitatamente all'acquisizione di quelle informazioni idonee a rivelare le convinzioni religiose. L'acquisizione di tali notizie dovrà essere esclusivamente finalizzata a valutare l'eventuale inserimento dell'insegnamento della religione all'interno dei percorsi formativi e ciò sulla base dell'appartenenza degli alunni ad una particolare confessione religiosa. Il consenso scritto, specifico e preventivo non è invece richiesto per il trattamento dei dati sensibili relativi ad alunni frequentanti istituzioni scolastiche pubbliche; tale situazione potrebbe, a parere di chi scrive, dar luogo a problemi di natura costituzionale, in ordine alla disparità di trattamento tra alunni di scuole private e di scuole pubbliche. Il Garante ha recentemente manifestato la propria preoccupazione riguardo alla circostanza che ad oggi numerose amministrazioni pubbliche non hanno ancora provveduto ad introdurre le idonee garanzie previste per il trattamento dei dati sensibili. L'Autorità garante ha esortato le pubbliche amministrazioni ad emanare i necessari regolamenti disciplinanti le modalità e le finalità del trattamento dei dati sensibili (rilevante interesse pubblico). Ove tali regolamenti non fossero emanati entro il 31.12.2005, la prosecuzione nel trattamento dei dati sensibili diverrebbe un illecito. Gli schemi dei regolamenti emanati dalle pubbliche amministrazioni dovranno poi essere sottoposti all'esame del Garante per l'espressione del parere, cui le amministrazioni dovranno poi conformarsi (Il Garante ha messo a disposizione delle Pubbliche Amministrazioni, un apposito modello di riferimento per redigere gli schemi). Nella redazione del portfolio l'istituto scolastico (pubblico o privato) dovrà sempre indicare in un'apposita informativa, i soggetti incaricati del trattamento, vale a dire tutte le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile. Sarà inoltre necessario rispettare tutte le norme previste dal Codice della Privacy in materia di sicurezza dei dati. Nell'ipotesi in cui il trattamento dei dati avvenisse attraverso l'ausilio di strumenti informatici sono richieste le seguenti misure minime (art. 34 Codice della Privacy): a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti degli stessi, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute. Nel caso di trattamenti effettuati senza l'ausilio di strumenti elettronici, le misure minime richieste dalla normativa in materia di privacy sono principalmente: a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati; b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati. Il Garante ha rilevato la necessità che venga garantita a tutti gli interessati la possibilità di esercitare i diritti individuati dall'articolo 7 del codice della privacy. In primis, l'interessato ha diritto di ottenere l'indicazione: a) dell'origine dei dati; b) delle finalità e modalità del trattamento; c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici; d) degli estremi identificativi del titolare e dei responsabili; e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza. L'interessato ha altresì diritto di richiedere ed ottenere l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati, la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati. L'esercente la potestà sull'alunno minore ha inoltre diritto di opporsi, in tutto o in parte per motivi legittimi al trattamento dei dati personali, ancorché pertinenti allo scopo della raccolta. Tutti i dati trattati dagli istituti scolastici devono essere conservati esclusivamente per brevi periodi preventivamente individuati, in modo tale che tutte le notizie sugli alunni siano custodite al fine di agevolare l'identificazione degli stessi, per un periodo di tempo non superiore a quello necessario agli scopi per i quali i dati sono stati raccolti e successivamente trattati. Il Garante ha inoltre confermato quanto già indicato negli allegati B) e C) del D.lgs. 59/2004, disponendo che, il Portfolio debba essere rilasciato all'alunno alla fine del corso di studi, affinché lo stesso lo consegni al nuovo istituto scolastico. _______________________________________________________________________________ Normativa di riferimento D.lg 30 giugno 2003 n. 196 D.lg 19 aprile 2004 n. 59 Provvedimento Garante per la protezione dei dati personali del 26 luglio 2005 (G.U. 08 agosto 2005 n. 183) Autorizzazione Garante per la protezione dei dati personali n. 3 del 30 giugno 2004 (G.U. 14 agosto 2004 n. 190) Autorizzazione Garante per la protezione dei dati personali n. 2 del 30 giugno 2004 (G.U. 14 agosto 2004 n. 190) Legge 4 maggio 1983 n. 184
Autore: Matteo Santini
Autore: Matteo Santini
In evidenza oggi: