Il rapporto complicato tra registro scolastico elettronico e privacy

/0 Commenti/in /da

Nel contesto della digitalizzazione della pubblica amministrazione, il registro elettronico rappresenta uno degli strumenti cardine per l’innovazione del sistema scolastico italiano: tuttavia emergono ancora criticità rilevanti sotto il punto di vista della privacy.

Tuttavia, nonostante le intenzioni dichiarate, la recente nota operativa diramata dal Ministero dell’Istruzione e del Merito, che intende fornire linee guida per la gestione del registro elettronico da parte delle istituzioni scolastiche statali, pone in evidenza una serie di criticità tutt’altro che trascurabili. Il documento ministeriale, che si propone di armonizzare le modalità di utilizzo del registro digitale nel rispetto della normativa vigente e delle buone prassi amministrative, si muove in un equilibrio complesso tra esigenze tecniche, vincoli normativi e tutela dei diritti fondamentali, primo fra tutti quello alla privacy.

Una piattaforma al centro della vita scolastica

Il registro elettronico, com’è noto, non è un semplice strumento di annotazione: racchiude informazioni essenziali relative alla carriera scolastica degli studenti, alla gestione delle attività didattiche e alle comunicazioni tra scuola e famiglia. Si tratta quindi di una vera e propria infrastruttura digitale, centrale nel funzionamento quotidiano delle scuole e nella relazione tra docenti, studenti e famiglie. Proprio per questo, il Ministero ribadisce la necessità di adottare soluzioni informatiche che siano sicure, accessibili, interoperabili con altri sistemi e conformi alla normativa sulla protezione dei dati personali.

Accesso digitale: un obbligo che rischia di diventare barriera

Uno dei pilastri su cui si fonda la gestione del registro è l’utilizzo delle identità digitali — SPID, CIE ed eIDAS — per garantire l’accesso sicuro da parte degli utenti. L’adozione progressiva di queste credenziali viene indicata come prioritaria per assicurare la protezione contro accessi non autorizzati. Tuttavia, se da un lato la scelta è coerente con le disposizioni in materia di sicurezza informatica, dall’altro rischia di accentuare il divario digitale, in particolare per le famiglie meno digitalizzate o per gli studenti minorenni che incontrano difficoltà nell’ottenere le credenziali d’accesso. L’introduzione dello SPID per minori tenta di colmare questa lacuna, ma non sempre la procedura risulta semplice o immediata.

Interoperabilità e accessibilità: le sfide dell’integrazione

Altro nodo rilevante è quello della piena interoperabilità del registro con le piattaforme istituzionali del Ministero, come il SIDI, l’Anagrafe Nazionale degli Studenti, la Piattaforma Unica o il servizio Pago in Rete. Questa connessione tra sistemi dovrebbe assicurare una continuità informativa e semplificare i processi amministrativi. Tuttavia, sul campo si osserva una realtà spesso frammentata, dove i diversi registri adottati dalle scuole si interfacciano con difficoltà con le applicazioni ministeriali. Il rischio è quello di una digitalizzazione incompleta, che invece di semplificare introduce nuovi oneri tecnici e amministrativi per le segreterie scolastiche.

Un aspetto che merita particolare attenzione è l’accessibilità. Il registro deve essere utilizzabile anche da utenti con disabilità, conformemente alla normativa italiana ed europea. Il rispetto di questi standard, però, non sempre è garantito dai fornitori di software, e la verifica dell’effettiva accessibilità delle piattaforme digitali rimane spesso affidata alla buona volontà delle singole istituzioni scolastiche.

Protezione dei dati: un onere pesante per le scuole

Il cuore critico della questione riguarda però la gestione dei dati personali. La nota del Ministero, infatti, sottolinea come ogni scuola sia a tutti gli effetti Titolare del trattamento dei dati contenuti nel registro, e dunque responsabile della loro sicurezza e gestione secondo i principi del Regolamento generale europeo sulla protezione dei dati (GDPR). Questo comporta obblighi stringenti: effettuare valutazioni d’impatto, rilasciare informative dettagliate, nominare soggetti autorizzati e sorvegliare i comportamenti dei fornitori, designati come Responsabili del trattamento.

Un compito tutt’altro che semplice, considerando che le scuole spesso non dispongono di competenze legali e informatiche adeguate. Sebbene esista la figura del Data Protection Officer (DPO), prevista per supportare le istituzioni scolastiche nel rispetto delle norme, il carico burocratico resta elevato. E non sono rari i casi in cui il registro elettronico, invece di essere uno strumento di semplificazione, si trasforma in una fonte di preoccupazioni legate a potenziali violazioni della privacy.

Sicurezza informatica: misure necessarie ma non sempre applicate

Nel documento ministeriale si legge l’invito a garantire un livello di sicurezza adeguato al rischio, adottando misure come piani di continuità operativa (business continuity), strategie di recupero in caso di disastro (disaster recovery), e l’utilizzo di soluzioni cloud conformi alla normativa specifica. Sulla carta, queste indicazioni sembrano appropriate. Tuttavia, la realtà sul territorio scolastico è molto variegata: ci sono scuole dotate di strumenti e competenze avanzate, ma anche istituti che si affidano a fornitori poco strutturati o privi di adeguate certificazioni di sicurezza. Senza un controllo sistematico e strumenti di supporto più concreti da parte del Ministero, queste misure rischiano di restare lettera morta.

La questione della portabilità dei dati

Infine, si affronta il tema della trasferibilità delle informazioni contenute nel registro, un aspetto fondamentale soprattutto in casi di cambio di gestore del servizio o in situazioni di necessità tecnica. Il principio della portabilità dei dati è sancito dal GDPR, ma tradurlo in pratica richiede la predisposizione di formati standardizzati e compatibili. Anche su questo fronte, l’assenza di regole comuni e vincolanti per i fornitori rischia di ostacolare l’esercizio di un diritto riconosciuto, vincolando di fatto le scuole a specifici software, talvolta con costi economici e tecnologici non trascurabili.

Conclusioni: tra autonomia scolastica e responsabilità statale

La nota ministeriale cerca di tracciare un perimetro normativo ed operativo chiaro per la gestione del registro elettronico. Tuttavia, il documento sembra scaricare sulle singole scuole un carico di responsabilità e adempimenti spesso sproporzionato rispetto alle loro effettive capacità. In nome dell’autonomia scolastica, si chiede alle istituzioni di navigare tra regolamenti europei, standard tecnici, misure di sicurezza e diritti digitali, senza fornire risorse o strumenti concreti per affrontare questa complessità.

Serve dunque un ripensamento più profondo dell’approccio alla digitalizzazione scolastica, che parta da una reale consapevolezza delle condizioni in cui operano le scuole italiane. Più che nuove circolari, è necessario un piano strutturale che preveda investimenti, formazione, assistenza tecnica e controllo centralizzato dei fornitori. Solo così il registro elettronico potrà trasformarsi da faticoso obbligo a vero strumento di innovazione e trasparenza al servizio della comunità scolastica.

Via libera del Garante Privacy alla Piattaforma Nazionale di Telemedicina

/0 Commenti/in /da

Il Garante della Privacy ha dato il via libera allo schema di decreto del Ministero della Salute che regolamenta il trattamento dei dati personali nella Piattaforma Nazionale di Telemedicina (PNT), inserita nel Piano Nazionale di Ripresa e Resilienza (PNRR).

L’approvazione è giunta dopo l’introduzione di garanzie rafforzate, richieste dall’Autorità, per tutelare i dati trattati.

Lo schema di decreto, rispetto alla versione iniziale, include ora l’obbligo di una valutazione d’impatto preventiva. Questo passaggio è stato ritenuto essenziale considerando la natura e le finalità del trattamento, nonché il numero elevato di persone coinvolte. Inoltre, sono stati definiti in maniera più dettagliata i tipi di dati gestiti, le operazioni eseguibili e le misure per garantire la sicurezza e la riservatezza delle informazioni. In particolare, la valutazione d’impatto dovrà essere aggiornata periodicamente e includere una mappatura completa dei rischi connessi al trattamento dei dati personali.

Integrazione con l’Ecosistema Dati Sanitari

La normativa stabilisce le modalità di utilizzo della PNT sia per scopi clinici sia per esigenze di governance sanitaria. Sono previste disposizioni specifiche per regolamentare l’interazione con l’Ecosistema Dati Sanitari (EDS) e vengono chiariti i ruoli e le responsabilità dei soggetti coinvolti nel trattamento dei dati. L’integrazione con l’EDS permetterà un flusso di informazioni strutturato e sicuro, migliorando la gestione e l’analisi dei dati sanitari a livello nazionale.

Misure avanzate di sicurezza informatica

Tra le misure di sicurezza rafforzate, il decreto impone meccanismi avanzati di protezione, come la cifratura dei dati con algoritmi robusti, la prevenzione delle intrusioni informatiche (Intrusion Prevention System – IPS), il monitoraggio continuo degli eventi di sicurezza e un sistema di tracciamento delle operazioni effettuate. Inoltre, sono previste azioni per prevenire il furto di identità digitale, elemento cruciale per la protezione delle informazioni sanitarie sensibili. Il decreto introduce anche un sistema di autenticazione a più fattori per garantire un accesso sicuro ai dati e un protocollo di gestione delle emergenze informatiche per rispondere tempestivamente a eventuali violazioni della sicurezza.

Aggiornamento delle linee guida sulla telemedicina

Il Garante ha inoltre sottolineato la necessità di aggiornare le “Linee guida per i servizi di telemedicina“, approvate nel 2022, affinando le disposizioni sulla protezione dei dati alla luce del nuovo quadro normativo del Fascicolo Sanitario Elettronico 2.0 e delle normative europee di riferimento. L’aggiornamento dovrà tenere conto delle best practices internazionali in materia di sicurezza e interoperabilità dei sistemi sanitari digitali.

L’iter di approvazione e il contenuto del decreto

L’iter di approvazione ha seguito un percorso articolato. Il Ministero della Salute ha trasmesso il testo per il parere del Garante il 10 dicembre 2024, successivamente integrandolo con una valutazione d’impatto sui trattamenti dei dati in seguito alle osservazioni dell’Autorità. Il decreto, composto da 19 articoli, disciplina dettagliatamente il funzionamento della PNT e delle sue infrastrutture, i servizi offerti, le modalità di accesso per pazienti e professionisti sanitari, nonché gli obblighi di trasparenza e conservazione dei dati.
Particolare attenzione alla sicurezza informatica, con specifiche disposizioni sulla gestione dei rischi e sugli strumenti di protezione. Gli allegati tecnici, parte integrante del decreto, delineano gli aspetti operativi della piattaforma, tra cui l’architettura del sistema e i flussi di dati tra la PNT, il Fascicolo Sanitario Elettronico e l’Ecosistema Dati Sanitari. Inoltre, il decreto prevede meccanismi di audit periodici per verificare il rispetto delle normative sulla protezione dei dati e la conformità agli standard di sicurezza europei.

Un passo avanti per la digitalizzazione della sanità

Con questa approvazione, il Ministero della Salute compie un passo significativo verso la digitalizzazione della sanità, garantendo al contempo un elevato livello di protezione delle informazioni personali. L’attuazione della PNT si inserisce in un quadro normativo più ampio volto a migliorare l’efficienza e la sicurezza dei servizi sanitari digitali in Italia. L’obiettivo finale è rendere i servizi di telemedicina accessibili in modo uniforme su tutto il territorio nazionale, riducendo le disuguaglianze nell’accesso alle cure e ottimizzando la gestione delle risorse sanitarie.

Non viola la privacy il controllo con investigatore privato sull’uso dei permessi Legge 104

/0 Commenti/in /da

La Corte di Cassazione ha stabilito che il datore di lavoro può ricorrere a un investigatore privato per verificare l’effettivo utilizzo dei permessi concessi ai sensi della Legge 104/1992, senza violare la privacy del dipendente.

La decisione arriva in seguito a un caso di licenziamento per giusta causa, scaturito dalle indagini commissionate da un’azienda per accertare se un lavoratore sfruttasse in modo improprio i permessi retribuiti destinati all’assistenza di un familiare disabile.

 

Il caso

 

Un dipendente di un’azienda, titolare di permessi ai sensi della Legge 104 per assistere la madre, è stato licenziato dopo che un’agenzia investigativa, incaricata dal datore di lavoro, aveva documentato un uso scorretto delle ore di permesso. Secondo le prove raccolte, il lavoratore, invece di prestare assistenza, utilizzava sistematicamente parte del tempo per svolgere attività personali, come uscite in bicicletta.

La Corte d’Appello di Brescia aveva già confermato la legittimità del licenziamento, evidenziando la reiterazione della condotta e il suo carattere sistematico. La sentenza è stata poi impugnata in Cassazione dal lavoratore, il quale ha contestato la violazione della propria riservatezza e la modalità con cui erano state raccolte le prove a suo carico.

La decisione della Cassazione

Con una recente ordinanza, la Suprema Corte ha respinto il ricorso del lavoratore, ritenendo infondati i motivi esposti. I giudici hanno chiarito che il controllo da parte di un’agenzia investigativa è legittimo, a patto che si limiti a verificare il corretto utilizzo dei permessi e non invada la sfera privata del lavoratore al di fuori dell’orario di lavoro.

Secondo la Cassazione, l’azienda ha agito nel rispetto della normativa vigente, raccogliendo prove lecite che dimostravano un comportamento scorretto da parte del dipendente. La decisione si inserisce in un quadro giurisprudenziale consolidato, che consente l’uso di investigatori privati per accertare eventuali abusi nei confronti di strumenti di tutela come i permessi retribuiti.

Implicazioni per i lavoratori e le aziende

Questa pronuncia conferma un orientamento già espresso in precedenza dalla giurisprudenza: il datore di lavoro può ricorrere a investigatori privati per verificare il rispetto delle norme da parte dei dipendenti, purché le indagini non sconfinino in un controllo invasivo della vita privata.

Per i lavoratori, la sentenza rappresenta un monito sull’uso corretto dei permessi previsti dalla Legge 104. Qualsiasi utilizzo improprio può costituire un motivo valido per il licenziamento, convalidato anche nei successivi gradi di giudizio.

Le aziende, dal canto loro, devono prestare attenzione a rispettare i limiti imposti dalla legge sulla protezione dei dati e sulla privacy, evitando controlli indiscriminati o eccessivamente invasivi.

Il diritto alla privacy non giustifica l’illecito

La decisione della Cassazione ribadisce il principio per cui il diritto alla privacy del lavoratore non può essere invocato per giustificare un comportamento illecito. L’abuso dei permessi retribuiti per finalità personali può legittimare il licenziamento, se supportato da prove raccolte in modo lecito. Con questa pronuncia, la giurisprudenza si conferma attenta a bilanciare le esigenze di tutela dei lavoratori con il diritto dell’azienda a proteggere la propria organizzazione da condotte scorrette.

Sanzioni privacy ridotte per gli enti non profit: il principio applicato dal Garante

/0 Commenti/in /da

La decisione si basa su un’interpretazione dell’articolo 83 del Regolamento generale sulla protezione dei dati (GDPR), tenendo conto della natura, delle finalità e delle condizioni economiche di queste realtà.

Un quadro normativo orientato alla proporzionalità

Secondo l’articolo 83 del GDPR, le sanzioni amministrative devono essere determinate in base ai principi di effettività, proporzionalità e dissuasività. In questo caso specifico, il Garante ha riconosciuto che l’ente destinatario del provvedimento operava con risorse finanziarie limitate e finalizzate esclusivamente a scopi formativi, divulgativi e informativi. Di conseguenza, ha ritenuto che le violazioni contestate derivassero da una condotta colposa piuttosto che dolosa, giustificando così una riduzione della sanzione.

Il principio di proporzionalità, sancito dall’art. 83, paragrafo 1, ha dunque avuto un peso determinante nella valutazione del caso. L’Autorità ha considerato non solo l’entità della violazione, ma anche la capacità economica dell’associazione e la sua situazione finanziaria compromessa da una grave perdita di esercizio. In questo modo, è stato riconosciuto che un’applicazione rigida delle sanzioni avrebbe potuto compromettere l’esistenza stessa dell’organizzazione, con il rischio di ostacolare le attività di interesse generale che essa svolge.

Privacy e terzo settore: un equilibrio necessario

Le associazioni senza scopo di lucro gestiscono spesso dati sensibili, in particolare quando operano in ambiti come l’assistenza sociale, la tutela dei diritti o la promozione culturale. Per questo motivo, devono attenersi scrupolosamente alle disposizioni del GDPR, che impone standard rigorosi per la raccolta, l’archiviazione e il trattamento delle informazioni personali. Tuttavia, la complessità della normativa e le risorse limitate di molte realtà del terzo settore rendono difficile la piena conformità alle prescrizioni.

Proprio per queste ragioni, il Garante ha adottato un approccio più sfumato rispetto a quello riservato alle imprese commerciali. Pur confermando la necessità di tutelare i diritti dei cittadini in materia di dati personali, ha ritenuto opportuno modulare le sanzioni in base alle specificità degli enti coinvolti. Questa impostazione evita che le organizzazioni non profit vengano penalizzate in misura sproporzionata rispetto alla loro capacità economica e operativa.

Implicazioni della decisione del Garante

La scelta di attenuare le sanzioni per gli enti del terzo settore potrebbe costituire un precedente significativo per future valutazioni in materia di privacy. Da un lato, si conferma l’importanza di un’applicazione flessibile del GDPR, che tenga conto delle diverse realtà organizzative; dall’altro, si ribadisce la necessità per le associazioni di adottare misure adeguate per garantire la protezione dei dati personali.

Questa decisione solleva inoltre un tema di più ampia portata: come bilanciare l’esigenza di trasparenza e sicurezza con la sostenibilità delle attività degli enti non profit? Se da una parte il rispetto delle normative in materia di privacy è imprescindibile, dall’altra occorre evitare che adempimenti troppo gravosi possano minare la sopravvivenza di realtà che svolgono un ruolo essenziale nel tessuto sociale.

Possibili sviluppi e raccomandazioni per gli enti non profit per evitare sanzioni in materia di privacy

Per evitare problemi con la normativa sulla protezione dei dati, le associazioni devono adottare un approccio proattivo alla compliance. Tra le azioni consigliate vi sono:

  • Formazione del personale: Sensibilizzare i volontari e i dipendenti sulle regole del GDPR per ridurre il rischio di errori e violazioni.
  • Nomina di un responsabile della protezione dati (DPO): Anche se non obbligatorio per tutti gli enti, un DPO può fornire un supporto essenziale nell’adeguamento alle normative.
  • Adozione di misure di sicurezza adeguate: Utilizzo di sistemi crittografici, aggiornamento delle policy di accesso ai dati e verifica periodica delle procedure interne.
  • Redazione di informative chiare e accessibili: Garantire che i soggetti interessati siano consapevoli delle modalità di trattamento dei loro dati e dei loro diritti.
  • Valutazioni periodiche della conformità: Effettuare controlli regolari per individuare eventuali criticità e intervenire tempestivamente.

Conclusioni

La decisione del Garante rappresenta un segnale importante per il mondo del non profit, sottolineando la necessità di un’applicazione della normativa privacy che tenga conto della natura e delle risorse degli enti coinvolti. Tuttavia, questa maggiore flessibilità non deve essere interpretata come un’esenzione dagli obblighi previsti dal GDPR: le associazioni devono comunque adottare tutte le misure necessarie per garantire la protezione dei dati personali, dimostrando un impegno concreto nella tutela della privacy.

In un contesto normativo in continua evoluzione, il tema della protezione dei dati nel terzo settore rimane centrale. Sarà quindi fondamentale monitorare gli sviluppi futuri e promuovere strategie che consentano agli enti non profit di operare in conformità con le disposizioni vigenti, senza che ciò comprometta la loro missione sociale.

Il testo del provvedimento

Qui il documento completo.

Calcolo sanzioni GDPR: conta il fatturato della singola azienda o quello di gruppo?

/0 Commenti/in /da

Sanzioni previste dal GDPR: il calcolo si basa sul fatturato di ogni singola azienda o su quello complessivo del gruppo di aziende? Risponde la CGUE.
 Continua a leggere

Il GDPR è valido anche per Wikipedia: lo sostiene il Garante della Privacy

/0 Commenti/in /da

Anche l’enciclopedia online tra le più famose della Rete, Wikipedia, deve rispettare le regole sul giornalismo e la manifestazione del pensiero e il GDPR: ecco cosa ha stabilito il Garante della Privacy.
 Continua a leggere

Privacy e multe in un Comune del Veneto: il servizio di Striscia la Notizia e il parere del DPO [VIDEO]

/0 Commenti/in /da

Polemiche per un caso accaduto in un Comune del Veneto, dove la pubblicazione “selvaggia” di dati personali online starebbe mettendo a rischio la privacy dei cittadini: ne abbiamo parlato con il DPO Gianluca Lucarelli, della Società Toorange Srls, commentando un recente reportage di Striscia la Notizia.
 Continua a leggere

Controlli occulti, difensivi e privacy del lavoratore: chiarimenti

/0 Commenti/in /da

I diritti del lavoratore e gli obblighi del datore di lavoro in relazione agli elementi di fatto che hanno giustificato il controllo: ecco cosa ha deciso una recente sentenza in materia di controlli “occulti” e tutela della privacy. Continua a leggere