A due anni dall’effettiva entrata in vigore del GDPR alcuni soggetti, pubblici e privati, hanno progressivamente adeguato il proprio impianto strutturale al nuovo regolamento. Aziende, grandi e piccole, hanno avuto la “libertà” di intraprendere il proprio percorso, di scegliere come e quanto incisiva dovesse essere la “privacy” nella propria struttura. Gli enti pubblici hanno invece dovuto seguire una linea diversa: il GDPR ha imposto loro un preciso percorso di adeguamento.
Tuttavia, nel variegato mondo delle pubbliche amministrazioni vi è una categoria che fa un po’ mondo a sé per caratteristiche, peculiarità e difficoltà che la allontanano dalle altre, ma con un patrimonio di dati personali importantissimo e delicatissimo: le scuole.
Molte di esse sono ancora in affanno riguardo l’applicazione del nuovo regolamento. Troppo spesso infatti l’adeguamento si traduce erroneamente nella mera individuazione di un DPO e nell’aggiornamento una tantum della documentazione. Questo approccio lascia esposto il patrimonio documentale scolastico a data breach, attacchi e perdite di vario genere. Un primo passo per controvertere tale tendenza è far comprendere alle scuole che la tutela del dato personale è un’attività strategica per proteggere tutti gli attori coinvolti nei vari trattamenti e che, anche se le risorse scarseggiano, uno strutturato piano di intervento e di auditing deve essere implementato per portarle verso il pieno adeguamento.
Quale percorso hanno intrapreso le scuole e come lo hanno fatto è un argomento difficile da affrontare ma che merita la massima attenzione.
2018: entra in vigore il GDPR
Partiamo dal principio, da quel “lontano” 25 maggio 2018, giorno in cui tra isteria di massa e corsa al consulente più vicino, tutte le PA, comprese quindi le scuole, hanno cercato di fare quel minimo indispensabile per non dirsi fuori legge: nominare il DPO. L’articolo 37 del GDPR non ammette infatti interpretazioni: se il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico occorre nominare un Data Protection Officer o Responsabile per la Protezione dei Dati, che può essere interno o esterno alla struttura interessata.
Il lento percorso di adeguamento parte dunque da quei giorni, da quella nomina del DPO usato spesso come tampone per potersi dire adeguati. Analizziamo brevemente questa nuova figura, passaggio indispensabile per comprenderne le potenzialità e il ruolo all’interno di un istituto scolastico.
Le funzioni che il DPO deve “garantire” sono le seguenti:
- deve informare e fornire consulenza al titolare del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal regolamento nonché da altre disposizioni dell’Unione e degli Stati membri relative alla protezione dei dati;
- deve sorvegliare l’osservanza del regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
- deve fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
- deve cooperare con l’autorità di controllo;
- deve fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento.
Anche il titolare, quindi la scuola, ha degli obblighi nei suoi confronti. Il DPO infatti:
- deve essere coinvolto in tutte le questioni riguardanti la protezione dei dati personali;
- devono essergli fornite le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica;
- non deve ricevere alcuna istruzione per quanto riguarda l’esecuzione di tali compiti.
Molto spesso ci si è fermati, nel mondo scolastico almeno, ai doveri e compiti del DPO e si sono ignorati gli obblighi che il titolare ha nei suoi confronti.
Il ruolo del Data Protection Officer
Considerato nel suo complesso, il Data Protection Officer riveste o dovrebbe rivestire un ruolo centrale nella gestione e nella tutela del dato personale all’interno della scuola. Ma la teoria si è dovuta scontrare con la pratica. Le realtà scolastiche, a volte piccole e con scarse risorse, hanno dovuto nominare un proprio DPO per rispettare il Reg. UE, ma a causa di pochi fondi a disposizione non è stata fatta una valutazione sulla figura da nominare. Il DPO non è stato dunque scelto per il programma che voleva intraprendere o per le azioni che riteneva necessario mettere in campo: la scelta è stata fatta su una semplice valutazione di costo del servizio.
Il primo problema o criticità è stata dunque quella di inserire, all’interno della struttura privacy istituzionale, una figura non metabolizzata, non selezionata con cui non si è potuto realizzare spesso un piano di intervento. Questo problema si intensifica con la logica di rotazione dei fornitori, applicata pedissequamente da alcune scuole. Il processo di adeguamento tramite DPO, un processo di medio-lungo termine, rischia dunque di bloccarsi nel momento in cui il dirigente scolastico decide di applicare il principio di turnazione dei fornitori e dunque cambiare consulente esterno periodicamente.
Ricapitolando: scarse risorse, poco tempo, rotazione del DPO, scarsa metabolizzazione della figura, sono i problemi che hanno investito le nostre scuole nel difficile processo di adeguamento al GDPR.
Cosa fare dunque e come risolvere queste problematiche.
Innanzitutto, risulta utile comprendere cosa ci chiede il GDPR e cosa comporta per le scuole il cambio di paradigma dall’applicazione delle misure minime di sicurezza al principio di accountability. Anche la scuola, titolare dei suoi trattamenti, deve dunque attenersi al concetto di responsabilizzazione applicando tutte le misure tecniche e organizzative necessarie a tutelare la sua enorme mole di dati personali. Chiaramente questo processo deve necessariamente passare attraverso il Data Protection Officer, questo “organismo” che affianca, consiglia e aiuta il titolare del trattamento.
Per mettere in campo e attuare le misure “necessarie” di sicurezza il titolare, per il tramite del DPO, dovrà inevitabilmente procedere con un piano di auditing strutturato e preciso, che possa permettere ad entrambi di avere una visione chiara e approfondita della struttura scolastica: chi fa cosa, come lo fa, tramite cosa lo fa.
Necessario un cambio di paradigma
Grazie al piano di auditing sarà possibile far emergere e individuare le criticità. A questo punto risulterà indispensabile un piano di intervento su due tempi che garantisca un miglioramento progressivo della struttura privacy scolastica: di breve periodo per le non conformità gravi e di medio-lungo per quelle meno urgenti.
Occorre dunque un cambio di paradigma da parte di tutti i soggetti coinvolti. Le scuole in primis, favorendo l’attività del DPO, la sua conoscenza all’interno e all’esterno del contesto scolastico, fornendogli tutte le risorse, umane ed economiche, necessarie e indispensabili per attuare la sua strategia. Il Dirigente e tutto il personale scolastico devono “educarsi” a coinvolgere sempre il proprio Data Protection Officer per tutte le questioni riguardanti la gestione dei dati: dalle informative ai data breach, dalle valutazioni di impatto al registro dei trattamenti, tutto deve passare dal vaglio della nuova figura.
Dall’altra parte i DPO devono avviare necessariamente un percorso di auditing per far emergere le criticità nella gestione del dato. Facendo fronte anche alle ristrettezze economiche dovrà poi attivare un piano di intervento, anche di lungo respiro, che possa permettere alla scuola di ritrovarsi, progressivamente, con una migliore gestione dei dati personali.
Altro passaggio importante riguarda il personale scolastico. Non si può più pensare di raggiungere un pieno adeguamento senza il coinvolgimento di tutti i soggetti che trattano, in vario modo, i dati personali: i docenti, il personale ATA, il DS e il DSGA, tutti dovranno essere formati e tutti dovranno lavorare seguendo istruzioni precise riguardo il trattamento. Come utilizzare gli strumenti, informatici e non, quali misure di sicurezza garantire, cosa fare in caso di incidenti sui dati personali, come gestire un esercizio di diritti da parte degli interessati: ogni aspetto dovrà essere adeguatamente normato e disciplinato.
La sicurezza informatica
A questo punto l’ultimo, complicato aspetto da affrontare è la sicurezza informatica. Tutto il mondo scolastico ha subito il passaggio, si potrebbe dire epocale, dalla carta al file, dall’analogico al digitale. Il registro elettronico, il software per la gestione documentale e per la protocollazione, la conservazione digitale, la firma digitale e la marca temporale rappresentano lo standard, strumenti e innovazioni da cui non si può più tornare indietro, da cui non si può più prescindere.
L’innovazione però, se non affrontata con metodo, può rappresentare una criticità. Il trasferimento del patrimonio documentale e di dati dal supporto cartaceo a quello digitale se non adeguatamente governato può essere infatti una vulnerabilità immensa per la scuola. D’altra parte “gestire la privacy” non può prescindere orami da questo mondo: tutelare il dato significa oggi non solo produrre la documentazione e chiudere a chiave gli archivi ma significa proteggere il flusso di acquisizione, gestione e conservazione in ogni sua forma. Tutelare il dato significa oggi valutare e gestire gli strumenti informatici che la scuola utilizza: dal cloud al server scolastico, dal responsabile IT esterno al personale tecnico che gestisce la strumentazione, tutto deve essere valutato.
Il fornitore è affidabile? Gli strumenti sono protetti? I docenti sono adeguatamente formati circa l’utilizzo di chiavette Usb? Sono tanti gli interrogativi e i punti da analizzare, ma ognuno di essi costituisce un passo fondamentale verso la messa in sicurezza dell’impianto scolastico. Una minima criticità potrebbe esporre tutta la scuola a gravi violazioni.
Usciamo tutti dunque dalla logica imperante del “ho aggiornato le informative, chiusa la questione” ed entriamo nel nuovo principio di accountability. Capiamo cosa fare, sfruttando al massimo questa nuova figura oramai ovunque presente.
La parola d’ordine quindi è piano di intervento: programmare gli audit, pianificare gli interventi, verificare la fattibilità degli stessi e la loro efficacia. Poche cose alla volta, pochi passaggi ma chirurgici potranno permettere alle scuole di tutelare l’immenso patrimonio di dati in loro possesso, sia esso cartaceo che digitale, e dirsi dunque adeguate al Regolamento Europeo 2016/679.