Articoli

Il rapporto complicato tra registro scolastico elettronico e privacy

/0 Commenti/in /da

Nel contesto della digitalizzazione della pubblica amministrazione, il registro elettronico rappresenta uno degli strumenti cardine per l’innovazione del sistema scolastico italiano: tuttavia emergono ancora criticità rilevanti sotto il punto di vista della privacy.

Tuttavia, nonostante le intenzioni dichiarate, la recente nota operativa diramata dal Ministero dell’Istruzione e del Merito, che intende fornire linee guida per la gestione del registro elettronico da parte delle istituzioni scolastiche statali, pone in evidenza una serie di criticità tutt’altro che trascurabili. Il documento ministeriale, che si propone di armonizzare le modalità di utilizzo del registro digitale nel rispetto della normativa vigente e delle buone prassi amministrative, si muove in un equilibrio complesso tra esigenze tecniche, vincoli normativi e tutela dei diritti fondamentali, primo fra tutti quello alla privacy.

Una piattaforma al centro della vita scolastica

Il registro elettronico, com’è noto, non è un semplice strumento di annotazione: racchiude informazioni essenziali relative alla carriera scolastica degli studenti, alla gestione delle attività didattiche e alle comunicazioni tra scuola e famiglia. Si tratta quindi di una vera e propria infrastruttura digitale, centrale nel funzionamento quotidiano delle scuole e nella relazione tra docenti, studenti e famiglie. Proprio per questo, il Ministero ribadisce la necessità di adottare soluzioni informatiche che siano sicure, accessibili, interoperabili con altri sistemi e conformi alla normativa sulla protezione dei dati personali.

Accesso digitale: un obbligo che rischia di diventare barriera

Uno dei pilastri su cui si fonda la gestione del registro è l’utilizzo delle identità digitali — SPID, CIE ed eIDAS — per garantire l’accesso sicuro da parte degli utenti. L’adozione progressiva di queste credenziali viene indicata come prioritaria per assicurare la protezione contro accessi non autorizzati. Tuttavia, se da un lato la scelta è coerente con le disposizioni in materia di sicurezza informatica, dall’altro rischia di accentuare il divario digitale, in particolare per le famiglie meno digitalizzate o per gli studenti minorenni che incontrano difficoltà nell’ottenere le credenziali d’accesso. L’introduzione dello SPID per minori tenta di colmare questa lacuna, ma non sempre la procedura risulta semplice o immediata.

Interoperabilità e accessibilità: le sfide dell’integrazione

Altro nodo rilevante è quello della piena interoperabilità del registro con le piattaforme istituzionali del Ministero, come il SIDI, l’Anagrafe Nazionale degli Studenti, la Piattaforma Unica o il servizio Pago in Rete. Questa connessione tra sistemi dovrebbe assicurare una continuità informativa e semplificare i processi amministrativi. Tuttavia, sul campo si osserva una realtà spesso frammentata, dove i diversi registri adottati dalle scuole si interfacciano con difficoltà con le applicazioni ministeriali. Il rischio è quello di una digitalizzazione incompleta, che invece di semplificare introduce nuovi oneri tecnici e amministrativi per le segreterie scolastiche.

Un aspetto che merita particolare attenzione è l’accessibilità. Il registro deve essere utilizzabile anche da utenti con disabilità, conformemente alla normativa italiana ed europea. Il rispetto di questi standard, però, non sempre è garantito dai fornitori di software, e la verifica dell’effettiva accessibilità delle piattaforme digitali rimane spesso affidata alla buona volontà delle singole istituzioni scolastiche.

Protezione dei dati: un onere pesante per le scuole

Il cuore critico della questione riguarda però la gestione dei dati personali. La nota del Ministero, infatti, sottolinea come ogni scuola sia a tutti gli effetti Titolare del trattamento dei dati contenuti nel registro, e dunque responsabile della loro sicurezza e gestione secondo i principi del Regolamento generale europeo sulla protezione dei dati (GDPR). Questo comporta obblighi stringenti: effettuare valutazioni d’impatto, rilasciare informative dettagliate, nominare soggetti autorizzati e sorvegliare i comportamenti dei fornitori, designati come Responsabili del trattamento.

Un compito tutt’altro che semplice, considerando che le scuole spesso non dispongono di competenze legali e informatiche adeguate. Sebbene esista la figura del Data Protection Officer (DPO), prevista per supportare le istituzioni scolastiche nel rispetto delle norme, il carico burocratico resta elevato. E non sono rari i casi in cui il registro elettronico, invece di essere uno strumento di semplificazione, si trasforma in una fonte di preoccupazioni legate a potenziali violazioni della privacy.

Sicurezza informatica: misure necessarie ma non sempre applicate

Nel documento ministeriale si legge l’invito a garantire un livello di sicurezza adeguato al rischio, adottando misure come piani di continuità operativa (business continuity), strategie di recupero in caso di disastro (disaster recovery), e l’utilizzo di soluzioni cloud conformi alla normativa specifica. Sulla carta, queste indicazioni sembrano appropriate. Tuttavia, la realtà sul territorio scolastico è molto variegata: ci sono scuole dotate di strumenti e competenze avanzate, ma anche istituti che si affidano a fornitori poco strutturati o privi di adeguate certificazioni di sicurezza. Senza un controllo sistematico e strumenti di supporto più concreti da parte del Ministero, queste misure rischiano di restare lettera morta.

La questione della portabilità dei dati

Infine, si affronta il tema della trasferibilità delle informazioni contenute nel registro, un aspetto fondamentale soprattutto in casi di cambio di gestore del servizio o in situazioni di necessità tecnica. Il principio della portabilità dei dati è sancito dal GDPR, ma tradurlo in pratica richiede la predisposizione di formati standardizzati e compatibili. Anche su questo fronte, l’assenza di regole comuni e vincolanti per i fornitori rischia di ostacolare l’esercizio di un diritto riconosciuto, vincolando di fatto le scuole a specifici software, talvolta con costi economici e tecnologici non trascurabili.

Conclusioni: tra autonomia scolastica e responsabilità statale

La nota ministeriale cerca di tracciare un perimetro normativo ed operativo chiaro per la gestione del registro elettronico. Tuttavia, il documento sembra scaricare sulle singole scuole un carico di responsabilità e adempimenti spesso sproporzionato rispetto alle loro effettive capacità. In nome dell’autonomia scolastica, si chiede alle istituzioni di navigare tra regolamenti europei, standard tecnici, misure di sicurezza e diritti digitali, senza fornire risorse o strumenti concreti per affrontare questa complessità.

Serve dunque un ripensamento più profondo dell’approccio alla digitalizzazione scolastica, che parta da una reale consapevolezza delle condizioni in cui operano le scuole italiane. Più che nuove circolari, è necessario un piano strutturale che preveda investimenti, formazione, assistenza tecnica e controllo centralizzato dei fornitori. Solo così il registro elettronico potrà trasformarsi da faticoso obbligo a vero strumento di innovazione e trasparenza al servizio della comunità scolastica.

Via libera del Garante Privacy alla Piattaforma Nazionale di Telemedicina

/0 Commenti/in /da

Il Garante della Privacy ha dato il via libera allo schema di decreto del Ministero della Salute che regolamenta il trattamento dei dati personali nella Piattaforma Nazionale di Telemedicina (PNT), inserita nel Piano Nazionale di Ripresa e Resilienza (PNRR).

L’approvazione è giunta dopo l’introduzione di garanzie rafforzate, richieste dall’Autorità, per tutelare i dati trattati.

Lo schema di decreto, rispetto alla versione iniziale, include ora l’obbligo di una valutazione d’impatto preventiva. Questo passaggio è stato ritenuto essenziale considerando la natura e le finalità del trattamento, nonché il numero elevato di persone coinvolte. Inoltre, sono stati definiti in maniera più dettagliata i tipi di dati gestiti, le operazioni eseguibili e le misure per garantire la sicurezza e la riservatezza delle informazioni. In particolare, la valutazione d’impatto dovrà essere aggiornata periodicamente e includere una mappatura completa dei rischi connessi al trattamento dei dati personali.

Integrazione con l’Ecosistema Dati Sanitari

La normativa stabilisce le modalità di utilizzo della PNT sia per scopi clinici sia per esigenze di governance sanitaria. Sono previste disposizioni specifiche per regolamentare l’interazione con l’Ecosistema Dati Sanitari (EDS) e vengono chiariti i ruoli e le responsabilità dei soggetti coinvolti nel trattamento dei dati. L’integrazione con l’EDS permetterà un flusso di informazioni strutturato e sicuro, migliorando la gestione e l’analisi dei dati sanitari a livello nazionale.

Misure avanzate di sicurezza informatica

Tra le misure di sicurezza rafforzate, il decreto impone meccanismi avanzati di protezione, come la cifratura dei dati con algoritmi robusti, la prevenzione delle intrusioni informatiche (Intrusion Prevention System – IPS), il monitoraggio continuo degli eventi di sicurezza e un sistema di tracciamento delle operazioni effettuate. Inoltre, sono previste azioni per prevenire il furto di identità digitale, elemento cruciale per la protezione delle informazioni sanitarie sensibili. Il decreto introduce anche un sistema di autenticazione a più fattori per garantire un accesso sicuro ai dati e un protocollo di gestione delle emergenze informatiche per rispondere tempestivamente a eventuali violazioni della sicurezza.

Aggiornamento delle linee guida sulla telemedicina

Il Garante ha inoltre sottolineato la necessità di aggiornare le “Linee guida per i servizi di telemedicina“, approvate nel 2022, affinando le disposizioni sulla protezione dei dati alla luce del nuovo quadro normativo del Fascicolo Sanitario Elettronico 2.0 e delle normative europee di riferimento. L’aggiornamento dovrà tenere conto delle best practices internazionali in materia di sicurezza e interoperabilità dei sistemi sanitari digitali.

L’iter di approvazione e il contenuto del decreto

L’iter di approvazione ha seguito un percorso articolato. Il Ministero della Salute ha trasmesso il testo per il parere del Garante il 10 dicembre 2024, successivamente integrandolo con una valutazione d’impatto sui trattamenti dei dati in seguito alle osservazioni dell’Autorità. Il decreto, composto da 19 articoli, disciplina dettagliatamente il funzionamento della PNT e delle sue infrastrutture, i servizi offerti, le modalità di accesso per pazienti e professionisti sanitari, nonché gli obblighi di trasparenza e conservazione dei dati.
Particolare attenzione alla sicurezza informatica, con specifiche disposizioni sulla gestione dei rischi e sugli strumenti di protezione. Gli allegati tecnici, parte integrante del decreto, delineano gli aspetti operativi della piattaforma, tra cui l’architettura del sistema e i flussi di dati tra la PNT, il Fascicolo Sanitario Elettronico e l’Ecosistema Dati Sanitari. Inoltre, il decreto prevede meccanismi di audit periodici per verificare il rispetto delle normative sulla protezione dei dati e la conformità agli standard di sicurezza europei.

Un passo avanti per la digitalizzazione della sanità

Con questa approvazione, il Ministero della Salute compie un passo significativo verso la digitalizzazione della sanità, garantendo al contempo un elevato livello di protezione delle informazioni personali. L’attuazione della PNT si inserisce in un quadro normativo più ampio volto a migliorare l’efficienza e la sicurezza dei servizi sanitari digitali in Italia. L’obiettivo finale è rendere i servizi di telemedicina accessibili in modo uniforme su tutto il territorio nazionale, riducendo le disuguaglianze nell’accesso alle cure e ottimizzando la gestione delle risorse sanitarie.

Non viola la privacy il controllo con investigatore privato sull’uso dei permessi Legge 104

/0 Commenti/in /da

La Corte di Cassazione ha stabilito che il datore di lavoro può ricorrere a un investigatore privato per verificare l’effettivo utilizzo dei permessi concessi ai sensi della Legge 104/1992, senza violare la privacy del dipendente.

La decisione arriva in seguito a un caso di licenziamento per giusta causa, scaturito dalle indagini commissionate da un’azienda per accertare se un lavoratore sfruttasse in modo improprio i permessi retribuiti destinati all’assistenza di un familiare disabile.

 

Il caso

 

Un dipendente di un’azienda, titolare di permessi ai sensi della Legge 104 per assistere la madre, è stato licenziato dopo che un’agenzia investigativa, incaricata dal datore di lavoro, aveva documentato un uso scorretto delle ore di permesso. Secondo le prove raccolte, il lavoratore, invece di prestare assistenza, utilizzava sistematicamente parte del tempo per svolgere attività personali, come uscite in bicicletta.

La Corte d’Appello di Brescia aveva già confermato la legittimità del licenziamento, evidenziando la reiterazione della condotta e il suo carattere sistematico. La sentenza è stata poi impugnata in Cassazione dal lavoratore, il quale ha contestato la violazione della propria riservatezza e la modalità con cui erano state raccolte le prove a suo carico.

La decisione della Cassazione

Con una recente ordinanza, la Suprema Corte ha respinto il ricorso del lavoratore, ritenendo infondati i motivi esposti. I giudici hanno chiarito che il controllo da parte di un’agenzia investigativa è legittimo, a patto che si limiti a verificare il corretto utilizzo dei permessi e non invada la sfera privata del lavoratore al di fuori dell’orario di lavoro.

Secondo la Cassazione, l’azienda ha agito nel rispetto della normativa vigente, raccogliendo prove lecite che dimostravano un comportamento scorretto da parte del dipendente. La decisione si inserisce in un quadro giurisprudenziale consolidato, che consente l’uso di investigatori privati per accertare eventuali abusi nei confronti di strumenti di tutela come i permessi retribuiti.

Implicazioni per i lavoratori e le aziende

Questa pronuncia conferma un orientamento già espresso in precedenza dalla giurisprudenza: il datore di lavoro può ricorrere a investigatori privati per verificare il rispetto delle norme da parte dei dipendenti, purché le indagini non sconfinino in un controllo invasivo della vita privata.

Per i lavoratori, la sentenza rappresenta un monito sull’uso corretto dei permessi previsti dalla Legge 104. Qualsiasi utilizzo improprio può costituire un motivo valido per il licenziamento, convalidato anche nei successivi gradi di giudizio.

Le aziende, dal canto loro, devono prestare attenzione a rispettare i limiti imposti dalla legge sulla protezione dei dati e sulla privacy, evitando controlli indiscriminati o eccessivamente invasivi.

Il diritto alla privacy non giustifica l’illecito

La decisione della Cassazione ribadisce il principio per cui il diritto alla privacy del lavoratore non può essere invocato per giustificare un comportamento illecito. L’abuso dei permessi retribuiti per finalità personali può legittimare il licenziamento, se supportato da prove raccolte in modo lecito. Con questa pronuncia, la giurisprudenza si conferma attenta a bilanciare le esigenze di tutela dei lavoratori con il diritto dell’azienda a proteggere la propria organizzazione da condotte scorrette.