Il D.lgs. 19 aprile 2004 n. 59 in materia di scuola primaria e secondaria di primo grado, ha introdotto la figura del c.d portfolio delle competenze individuali.
Si tratta di un documento che ogni scuola pubblica o privata deve redigere in riferimento ai singoli alunni, al fine di raccogliere informazioni relative agli stessi. Il Portfolio ? un documento di valutazione ed orientamento che attesta i processi formativi degli alunni e ne accompagna il percorso scolastico.
A seguito di numerose segnalazioni e reclami da parte di genitori, per possibile violazione della privacy in merito al trattamento dei dati personali dei figli da parte degli istituti scolastici, ? intervenuto il Garante per
Il punto nodale della questione va individuato nella tipologia di dati personali che sono trattati nel portfolio. Fino ad oggi non esisteva un modello standard di portfolio imposto o suggerito dal Ministero dell?Istruzione. Ci? rappresentava un evidente limite, in considerazione del fatto che in assenza di disposizioni ed indicazioni specifiche da parte del Garante della Privacy era compito dei singoli istituti scolastici provvedere alla predisposizione dei modelli standard di portfolio da utilizzare all?interno della scuola, i quali rischiavano di divergere notevolmente da un istituto all?altro.
Il Garante ha individuato nel singolo Istituto scolastico frequentato dallo studente, il titolare del trattamento dei dati inseriti nel portfolio, vale a dire il soggetto a cui compete ogni decisione in ordine alle finalit? e modalit? di trattamento e agli strumenti utilizzati.
L?Autorit? Garante ha identificato 4 principi informatori a cui debbono necessariamente attenersi gli istituti scolastici nella redazione del portfolio: 1) Principio della finalit?: i dati devono essere trattati esclusivamente per il raggiungimento delle finalit? indicate nella legislazione di riforma del sistema scolastico o per valutare l?apprendimento ed il comportamento degli alunni, ma deve ogni caso essere evitato qualsiasi trattamento (raccolta, acquisizione, registrazione) diretto a definire un profilo psicologico degli alunni.
2) Principio della necessit?: si tratta del principio sancito dall?articolo 3 del Codice della Privacy, il quale impone di ridurre al minimo l?utilizzo dei dati personali e identificativi, in modo da escluderne il trattamento quando le finalit? perseguite nei singoli casi possano essere realizzate mediante, rispettivamente, dati anonimi od opportune modalit? che permettano di identificare l?interessato solo in caso di necessit?. 3) Principio di proporzionalit?: i dati trattati non possono in nessun caso essere eccedenti rispetto alle finalit? per le quali sono raccolti o trattati. 4) Principio di indispensabilit?: ? senza dubbio il principio pi? importante e ad avviso dello scrivente quello pi? delicato, in quanto diretto a limitare la raccolta ed il trattamento dei dati esclusivamente alle informazioni realmente indispensabili per la valutazione del processo formativo dello studente.? Il principio della indispensabilit? appare ictu oculi strettamente connesso a quello della necessit? ed impone un?attenta valutazione da parte del singolo istituto scolastico circa le informazioni da acquisire e trattare, al fine di evitare, quanto pi? possibile, l?inserimento ed il trattamento di dati di natura sensibile, idonei a rilevare l?origine razziale ed etnica, le convinzioni religiose e lo stato di salute dell?alunno o di quei dati per la raccolta dei quali l?ordinamento impone particolari cautele (es: stato di affidamento o di adozione Legge 184/1983).
Il Garante per
In caso di trattamento dei dati sensibili cos? come definiti dall?articolo 4 lettera d) del codice della Privacy, il Garante ha regolamentato diversamente il trattamento degli stessi, a seconda che dette informazioni siano acquisite da un istituto scolastico di natura pubblica o da uno di natura privata.
Per quanto concerne gli istituti scolastici privati ? necessario, per poter trattare i dati sensibili, il consenso specifico, preventivo e scritto da parte del soggetto esercente la potest? sull?alunno minore. Il Garante ha inoltre ribadito l?importanza nell?ambito dell?acquisizione dei dati sensibili, del rispetto delle prescrizioni contenute nel Codice della Privacy (art. 26) e nelle autorizzazioni generali al trattamento dei dati sensibili. (autorizzazioni n. 2 e 3 del 2004).
In particolare l?Autorizzazione n. 3 del 2004 (G.U. 190 del 14.08.2004), autorizza espressamente gli istituti scolastici al trattamento dei dati sensibili, limitatamente all?acquisizione di quelle informazioni idonee a rivelare le convinzioni religiose. L?acquisizione di tali notizie dovr? essere esclusivamente finalizzata a valutare l?eventuale inserimento dell?insegnamento della religione all?interno dei percorsi formativi e ci? sulla base dell?appartenenza degli alunni ad una particolare confessione religiosa.
Il consenso scritto, specifico e preventivo non ? invece richiesto per il trattamento dei dati sensibili relativi ad alunni frequentanti istituzioni scolastiche pubbliche; tale situazione potrebbe, a parere di chi scrive, dar luogo a problemi di natura costituzionale, in ordine alla disparit? di trattamento tra alunni di scuole private e di scuole pubbliche.
Il Garante ha recentemente manifestato la propria preoccupazione riguardo alla circostanza che ad oggi numerose amministrazioni pubbliche non hanno ancora provveduto ad introdurre le idonee garanzie previste per il trattamento dei dati sensibili. L?Autorit? garante ha esortato le pubbliche amministrazioni ad emanare i necessari regolamenti disciplinanti le modalit? e le finalit? del trattamento dei dati sensibili (rilevante interesse pubblico). Ove tali regolamenti non fossero emanati entro il 31.12.2005, la prosecuzione nel trattamento dei dati sensibili diverrebbe un illecito.
Gli schemi dei regolamenti emanati dalle pubbliche amministrazioni dovranno poi essere sottoposti all?esame del Garante per l?espressione del parere, cui le amministrazioni dovranno poi conformarsi (Il Garante ha messo a disposizione delle Pubbliche Amministrazioni, un apposito modello di riferimento per redigere gli schemi).
Nella redazione del portfolio l?istituto scolastico (pubblico o privato) dovr? sempre indicare in un?apposita informativa, i soggetti incaricati del trattamento, vale a dire tutte le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile. Sar? inoltre necessario rispettare tutte le norme previste dal Codice della Privacy in materia di sicurezza dei dati. Nell?ipotesi in cui il trattamento dei dati avvenisse attraverso l?ausilio di strumenti informatici sono richieste le seguenti misure minime (art. 34 Codice della Privacy): a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti degli stessi, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilit? dei dati e dei sistemi; g) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute.
Nel caso di trattamenti effettuati senza l’ausilio di strumenti elettronici, le misure minime richieste dalla normativa in materia di privacy sono principalmente: a) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati; b) previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalit? di accesso finalizzata all’identificazione degli incaricati.
Il Garante ha rilevato la necessit? che venga garantita a tutti gli interessati la possibilit? di esercitare i diritti individuati dall?articolo 7 del codice della privacy.
In primis, l’interessato ha diritto di ottenere l’indicazione: a) dell’origine dei dati; b) delle finalit? e modalit? del trattamento; c) della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici; d) degli estremi identificativi del titolare e dei responsabili; e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza. L?interessato ha altres? diritto di richiedere ed ottenere l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati, la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non ? necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati.
L’esercente la potest? sull?alunno minore ha inoltre diritto di opporsi, in tutto o in parte per motivi legittimi al trattamento dei dati personali, ancorch? pertinenti allo scopo della raccolta.
Tutti i dati trattati dagli istituti scolastici devono essere conservati esclusivamente per brevi periodi preventivamente individuati, in modo tale che tutte le notizie sugli alunni siano custodite al fine di agevolare l?identificazione degli stessi, per un periodo di tempo non superiore a quello necessario agli scopi per i quali i dati sono stati raccolti e successivamente trattati.
Il Garante ha inoltre confermato quanto gi? indicato negli allegati B) e C) del D.lgs. 59/2004, disponendo che, il Portfolio debba essere rilasciato all?alunno alla fine del corso di studi, affinch? lo stesso lo consegni al nuovo istituto scolastico.
Avv. Matteo Santini
_______________________________________________________________
Normativa di riferimento
D.lg 30 giugno 2003 n. 196
D.lg 19 aprile 2004 n. 59
Provvedimento Garante per la protezione dei dati personali del 26 luglio 2005 (G.U. 08 agosto 2005 n. 183)
Autorizzazione Garante per la protezione dei dati personali n. 3 del 30 giugno 2004 (G.U. 14 agosto 2004 n. 190)
Autorizzazione Garante per la protezione dei dati personali n. 2 del 30 giugno 2004 (G.U. 14 agosto 2004 n. 190)
Legge 4 maggio 1983 n. 184
Scrivi un commento
Accedi per poter inserire un commento