Il GDPR ha introdotto un’importante novità che coinvolge scuola e privacy, il Registro delle attività di trattamento, strumento di fondamentale importanza che permette al titolare di garantire il totale rispetto delle regole di correttezza e trasparenza nell’utilizzo dei dati personali, mantenendo un comportamento concreto e proattivo, finalizzato alla prevenzione di qualsiasi rischio cui possono essere potenzialmente sottoposti gli stessi.
Cos’è il registro delle attività di trattamento
La struttura del registro delle attività di trattamento, delineata dall’art. 30 del GDPR, ricorda in parte quella del precedente “Documento programmatico sulla sicurezza” citato nell’art. 34, lett. g), del D.Lgs. 196/2003 circa il trattamento di dati personali effettuati mediante strumenti elettronici, abrogato dal d.lgs 101 del 2018.
In passato, il titolare del trattamento che intendeva effettuare operazioni che – complici le relative modalità previste o a causa della natura dei dati personali trattati – avrebbero potuto presentare dei rischi per gli interessati, era obbligato a inviare in via preventiva una notifica al Garante della Privacy, salvo che l’interessato non rientrasse in una delle categorie di soggetti esonerati in base a un provvedimento generale da parte della medesima Autorità di controllo.
Oggi, secondo il nuovo Regolamento Europeo, il Garante della Privacy effettua invece tutte le verifiche del caso “ex post”, ovvero dopo che il titolare del trattamento, assumendosene il rischio, propone le proprie autonome determinazioni in ordine al trattamento.
Ciò avviene tramite l’esame del Registro delle attività di trattamento, che su richiesta deve quindi essere messo a disposizione dell’Autorità competente.
Il Registro delle attività di trattamento è un documento che può essere tenuto sia in forma cartacea che in formato elettronico. Viene così dunque definito dallo stesso Garante della Privacy, all’interno delle FAQ sul registro delle attività di trattamento:
“L’art. 30 del Regolamento (EU) n. 679/2016 (di seguito “RGPD”) prevede tra gli adempimenti principali del titolare e del responsabile del trattamento la tenuta del registro delle attività di trattamento. E’ un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del RGPD) relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento (sul registro del responsabile, vedi, in particolare, il punto 6). Costituisce uno dei principali elementi di accountability del titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività”.
Chi è tenuto a compilare il registro delle attività di trattamento?
Secondo quanto stabilito dal Garante della Privacy, ad avere l’obbligo di compilare il registro delle attività di trattamento sono sia il titolare che il responsabile di imprese o organizzazioni con almeno 250 dipendenti, oppure – pur sotto questa soglia dimensionale – qualora effettuino trattamenti che possiedano anche solo una delle seguenti caratteristiche:
- Possono presentare un rischio, seppur ridotto, per i diritti e le libertà dell’interessato
- Non rappresentano trattamenti occasionali
- Coinvolgono categorie particolari di dati contemplate dall’art.9, paragrafo 1, del GDPR (i cosiddetti dati sensibili, così come quelli genetici e biometrici)
Dal momento che le istituzioni scolastiche pubbliche sono portate a trattare in maniera continua e tutt’altro che occasionale i dati personali e sensibili di innumerevoli categorie di soggetti interessati, quali studenti, relativi familiari, dipendenti, fornitori, ecc. – che peraltro sovente possono anche riguardare reati ed eventuali condanne penali – ne deriva che ogni istituto scolastico, è obbligatoriamente tenuto a redigere e aggiornare con regolarità il registro delle attività di trattamento.
A cosa serve il registro delle attività di trattamento
Il registro delle attività di trattamento svolge un duplice ruolo: oltre a permettere e agevolare eventuali verifiche da parte del Garante della Privacy, risulta estremamente utile anche per chi lo redige, poiché permette di avere una visione d’insieme, sempre aggiornata, dei trattamenti legati ai dati personali messi in atto sotto la propria responsabilità, dettagliandone ogni caratteristica.
Tutto ciò rappresenta un necessario punto di partenza per qualsiasi valutazione e analisi dei rischi, nonché la base per ulteriori adempimenti spettanti al titolare o al responsabile del trattamento, quali ad esempio eventuali informative da inoltrare e consensi che necessitano di essere raccolti, cosa che avviene regolarmente in ambito scolastico.
Cosa contiene il registro delle attività di trattamento
Il registro delle attività di trattamento deve descrivere in maniera accurata tutte le caratteristiche dei trattamenti svolti e contenere le informazioni riportate nell’art.30, par. 1 del GDPR.
Per quel che riguarda le scuole, il registro delle attività di trattamento va redatto indicando:
- Il nome e i dati di contatto del titolare del trattamento, del responsabile della protezione dei dati e dell’eventuale soggetto che, secondo quanto stabilito dall’art. 26 del GDPR, determina congiuntamente con il titolare, le finalità e i mezzi del trattamento
- Le finalità del trattamento, ovvero lo scopo determinato, esplicito e legittimo perseguito nell’ambito dell’attività di trattamento
- La descrizione delle categorie di soggetti interessati, quali studenti, genitori, personale docente, professionisti esterni, ecc., così come delle categorie di dati personali trattati
- Le categorie di destinatari a cui i dati personali vengono o dovranno essere comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali
- Gli eventuali trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale
- Ove possibile, i termini relativi alla cancellazione dei dati, prevista dalle differenti categorie, sempre indicando i criteri oggettivi utilizzati per determinare l’arco temporale entro il quale gli stessi verranno cancellati
- Ove possibile, una descrizione generale delle misure di sicurezza messe in atto al fine di ridurre al minimo il rischio che i dati possano essere distrutti o persi, o ancora essere oggetto di accesso non autorizzato, di trattamento non consentito, o di modifiche indebite
Quanto espresso poc’anzi rappresenta il contenuto “minimo” e necessario da includere nel registro delle attività di trattamento, lo stesso che permette di restituire un quadro relativamente completo dei trattamenti in essere, utile per una valutazione di eventuali rischi e al contempo imprescindibile per costruire un dialogo e una vera collaborazione con il Garante.
Tuttavia nulla vieta alla scuola di includere ulteriori informazioni utili al fine di incrementare l’efficacia del documento all’interno di un sistema corretto ed efficiente di gestione dei dati personali che ogni titolare dovrebbe curare capillarmente in funzione della propria accountability.
Sarebbe pertanto opportuno per ogni attività di trattamento includere il riferimento giuridico che contribuisce a renderla lecita, una descrizione accurata di tutte le operazioni svolte materialmente sui dati, così come le modalità del trattamento e la tipologia di informativa resa, il tutto al fine di redigere un documento quanto più completo ed esaustivo possibile.
Il Ministero dell’Istruzione – con nota n. 877 del 3/08/2018 – ha inviato a tutte le scuole una bozza di registro delle attività di trattamento: i dirigenti possono dunque prendere spunto da questo modello per la compilazione del registro e la mappatura di tutte le attività.
Cosa fa Easyteam.org SRL e come supporta le scuole?
Come visto in precedenza, il Registro delle attività di trattamento deve essere redatto e aggiornato dal titolare del trattamento, cioè dal Dirigente Scolastico.
Nella pratica, quest’obbligo è di difficile attuazione, perchè la redazione del Registro coinvolge conoscenze legali, tecniche, sistemistiche, amministrative e non ultime conoscenze approfondite dei gestionali in uso nella scuola.
Per questo motivo Easyteam.org SRL affianca il Dirigente Scolastico analizzando i trattamenti posti in essere dalla scuola, preparando e redigendo una bozza di Registro e sottoponendo questa bozza alla ratifica finale del Dirigente, che non dovrà quindi preoccuparsi di una redazione ex-novo del documento, ma solo di verificare la corrispondenza di quanto dichiarato con i processi del proprio istituto.
