Non vi sono norme particolari per l'uso di questo strumento, tranne che la parte relativa alla sicurezza dei dati che deve essere curata dall'amministratore di sistema. Vanno pertanto, eseguiti tutti gli adempimenti su richiamati. Un’informativa completa a monte del trattamento dei dati personali tramite tale supporto può rendere le cose più limpide e semplici. Il Garante Privacy in merito era intervenuto chiedendo che l’istituto specificasse in particolare:
a) la base giuridica del trattamento dati personali, ossia identificare l’insieme di norme che obbligano all’utilizzo di tale strumento e allo svolgimento del trattamento dati in questione. In questo caso la base giuridica è da rinvenire all’art.2-ter del Codice Privacy quindi nell’ambito del trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri. Il dettato normativo che sancisce tale obbligo per le amministrazioni scolastiche deriva dal D.L. n. 95 del 2012, convertito con modificazioni dalla L. 7 agosto 2012, n. 135];
b) le misure con cui viene garantito il rispetto del principio di trasparenza nei confronti degli interessati, in particolare attraverso le informazioni che devono essere fornite ai docenti, genitori e alunni, ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679, con specifico riferimento all’utilizzo del registro elettronico. Si tratta degli obblighi di resa dell’informativa ai soggetti interessati che è dovuta ogni qual volta vi sia un trattamento di dati. Secondo l’art. 13 l'obbligo di informare gli interessati va adempiuto prima o al massimo al momento di dare avvio alla raccolta dei dati, l’ideale quindi sarebbe all’inizio dell’anno scolastico o anche quando la scuola decidesse di modificare tipologia di registro elettronico. Diversamente, ma non è questo il caso, i dati che non siano raccolti direttamente presso l'interessato (art. 14 del Regolamento), l'informativa deve essere fornita entro un termine ragionevole, e comunque non oltre un mese dalla raccolta dei dati. Oppure va fatta al momento della comunicazione dei dati a terzi;
c) il ruolo assunto dalla società in relazione al trattamento dei dati personali contenuti nel registro elettronico (es. responsabile del trattamento) in base alla disciplina in materia di protezione dei dati personali, fornendo altresì copia dei relativi atti giuridici. Nell’ambito della designazione del responsabile esterno accade che i dati personali raccolti dal titolare fuoriescano dalla sua sfera di controllo e vengono trasmessi ad un soggetto esterno per la realizzazione del contratto tra pubblica amministrazione e un soggetto terzo. Nell’ambito del contratto che viene stipulato, il soggetto responsabile si impegna a trattare i dati personali per conto del titolare. In tale ambito è onere del titolare individuare un soggetto responsabile che fornisca “garanzie sufficienti” per mettere in atto misure tecniche e organizzative adeguate;
d) le tipologie di dati trattati nell’ambito del suddetto registro, specificando quelle che devono essere obbligatoriamente inserite a cura della scuola. Così si dovrebbe riportare che i dati personali previsti dagli art. 9 e 10 del Regolamento Europeo (“categorie di dati particolari” e “dati giudiziari”) saranno trattati esclusivamente dal personale appositamente incaricato, secondo quanto previsto dalle disposizioni di legge e di regolamento e nel rispetto del principio di stretta indispensabilità dei trattamenti. Tali dati non saranno oggetto di diffusione; tuttavia, alcuni di essi potrebbero essere comunicati ad altri soggetti pubblici nella misura strettamente indispensabile per svolgere attività previste dalle vigenti disposizioni in materia di rapporto di lavoro, sanitaria o giudiziaria;
e) le istruzioni fornite al personale autorizzato ad accedere al registro elettronico. Il dirigente scolastico titolare del trattamento e il DSGA, in quanto soggetto designato dal dirigente scolastico ex art. 2-quaterdecies d.lgs. 196/2003, il primo nei confronti del personale do- cente dipendente e di tutti i collaboratori esterni a qualunque titolo individuati, il secondo nei confronti del personale ATA in servizio presso l’istituzione scolastica, designano gli incaricati tramite atto individuale specificando i trattamenti che gli stessi sono autorizzati ad effettuare. La designazione scritta deve, inoltre, contenere le istruzioni impartite agli incaricati del trat- tamento e si intende decaduta in caso di cessazione del rapporto di lavoro con l’istituzione scolastica. Tali istruzioni, oltre a riguardare eventuali aspetti di dettaglio da diversificare in relazione alle specificità dei singoli trattamenti, devono, quanto meno, contenere un espresso richiamo alle policies dell’Istituto in materia di sicurezza informatica e protezione dei dati personali;
f) le misure tecniche e organizzative adottate al fine di garantire un’adeguata sicurezza dei dati personali trattati tramite il registro elettronico. A titolo di esempio, ricordiamo che il responsabile del trattamento (cioè la società esterna che garantisce il servizio) deve conservare i dati personali garantendo la separazione di tipo logico dai dati personali trattati per conto di terze parti o per proprio conto. Inoltre il responsabile del trattamento deve adottare e mantenere appropriate misure di sicurezza, sia tecniche che organizzative, per proteggere i dati personali da eventuali distruzioni o perdite di natura illecita o accidentale, danni, alterazioni, divulgazioni o accessi non autorizzati, ed in particolare, laddove il trattamento comporti trasmissioni di dati su una rete, da qualsiasi altra forma illecita di trattamento;
g) i tempi di conservazione dei dati. Così ad esempio che si provvede alla cancellazione dei dati personali trattati, e ciò vale soprattutto per la società esterna e responsabile per l’esecuzione del contratto, al termine del periodo di conservazione e in qualsiasi circostanza in cui sia richiesto dall’Istituto scolastico, compresa l’ipotesi in cui la stessa debba avvenire per dare seguito a specifica richiesta da parte di interessati;
h) l’eventuale valutazione di impatto effettuata ai sensi dell’art. 35 del Regolamento. In merito alla tematica relativa all’utilizzo del registro elettronico, il Garante ha ricordato che il MIUR avrebbe dovuto predisporre un “Piano per la dematerializzazione delle procedure amministrative in materia di istruzione, università e ricerca e dei rapporti con le comunità dei docenti, del personale, studenti e famiglie” che non risulta, a tutt’oggi, adottato. Sembrerebbe inoltre che siano emersi taluni profili critici derivanti dall’utilizzo del registro elettronico, in relazione al quale non sarebbe stata effettuata una valutazione d’impatto sui diritti e le libertà degli interessati ai sensi dell’art. 35 del Regolamento (UE) 2016/679 [Garante Privacy, richiesta informazioni dell’8 gennaio 2020].
