Registro elettronico, garantisce privacy studenti? Il Garante interroga una scuola
Il registro elettronico garantisce sempre la sicurezza dei dati personali? La risposta sembrerebbe positiva stando alla rapida diffusione di questo strumento nelle decine di migliaia di plessi scolastici e alla tranquillità con la quale i docenti usano la tecnologia per registrare presenze, assenze, ritardi, valutazioni, note disciplinari, osservazioni, giudizi.
Tuttavia negli ultimi tempi si stanno moltiplicando le perplessità in merito a presunte leggerezze che hanno accompagnato l’avvio dell’esperienza, soprattutto con riferimento all’attuazione dei regolamenti attuativi. Queste norme avrebbero dovuto rendere più effettiva e pressante la sicurezza del trattamento dei dati. “L’istruzione, a partire dagli asili fino ad arrivare all’università – ammette l’Autorità garante della privacy – costituisce una risorsa fondamentale per ogni Paese perché coniuga memoria storica e futuro. Per questo motivo è utile essere sempre al passo con l’innovazione, dalle lavagne multimediali che sostituiscono quelle col gessetto ai tablet su cui consultare i libri, dal registro elettronico ai sistemi di messaggistica con cui scambiarsi informazioni”.
Ma il Garante avverte: “Ancor più importante è riaffermare quotidianamente, anche in ambito scolastico, quei principi di civiltà, come la riservatezza e la dignità della persona, che devono sempre essere al centro della formazione di ogni cittadino. Il Garante per la protezione dei dati personali affianca le istituzioni scolastiche, le famiglie, gli studenti, i professori proprio in questa continua sfida formativa e informativa. Lo fa anche quando rileva che un documento pubblicato sul sito internet di una scuola, che riporta i dati sulla salute di uno studente, non è semplicemente una svista in tema di protezione dati, ma una violazione”.
Ed è questo il punto. Ha fatto notizia negli ultimi mesi la storia di un professore sardo che è stato sanzionato più volte per essersi rifiutato di usare il registro elettronico perché il medesimo non sarebbe in linea con la normativa sulla privacy. Almeno stando a quanto sostiene il professor Andrea Scano, maestro della scuola primaria “Colombo” di Cagliari. Scano aveva già subito un procedimento disciplinare, conclusosi con la sanzione del ‘richiamo scritto’, per un’analoga vicenda che riguardava il non utilizzo degli scrutini on line su una piattaforma privata. “Il nostro collega, maestro elementare – spiegano i Cobas della Sardegna, che lo sostengono da sempre – da un anno chiede legittimamente di poter utilizzare il registro cartaceo per le normali operazioni scolastiche: firme di presenza, registrazione voti, attività e quant’altro. Non si tratta di un capriccio né di un rifiuto a priori delle innovazioni. Più semplicemente, maestro Andrea si è reso conto che non esiste una legge che imponga l’uso del registro elettronico, mentre, al contrario, esistono fortissime criticità rispetto al suo utilizzo.
Infatti, già da diversi anni il Garante per la privacy si è così espresso: ‘Iscrizione e registri on line, pagella elettronica: in attesa di poter esprimere il previsto parere sui provvedimenti attuativi del Ministero dell’istruzione riguardo all’iscrizione on line degli studenti, all’adozione dei registri on line e alla consultazione della pagella via web, il Garante auspica l’adozione di adeguate misure di sicurezza a protezione dei dati’”.
Appare di solare evidenza – insistono i Cobas – che se il Garante “auspica l’adozione di adeguate misure di sicurezza a protezione dei dati” egli vuole significare che ad oggi quelle misure di sicurezza non esistono. E allora, perché mettere a rischio i dati relativi a minori, certamente meritevoli di particolare protezione? Perché non tener conto delle misure e delle cautele indicate da una legge – questa sì, assolutamente in vigore – come il noto Regolamento Europeo sul trattamento dei dati personali n. 679/2016? Tutto questo senza contare le numerosissime altre criticità relative all’uso del registro elettronico, criticità ben documentate nelle oltre venti pagine della difesa nel procedimento disciplinare prodotta dal sindacato Cobas Scuola Sardegna che tutela il collega”.
Sulla questione abbiamo interpellato l’avvocato Francesco Orecchioni, del Foro di Lanciano, in Abruzzo, grande esperto di tematiche scolastiche. “Io confesso di non essere un patito della privacy – spiega il legale – ma osservo che quando i clienti arrivano in studio noi avvocati dobbiamo compilare un mare di carte per poter trattare i dati. La stessa cosa succede a chi gestisce un sito o una vendita online, alle banche. La scuola mi pare sia rimasta un po’ indietro sul punto e non è certo colpa del dirigente o del funzionario. Si è partiti anni orsono introducendo il registro elettronico nelle scuole senza il Regolamento per il trattamento dei dati. Finora si è fatto finta di nulla, ma c’è un difetto, perché si dovrebbe indicare i responsabili del trattamento dati e altro. Penso che nella scuola non ci sia il responsabile del trattamento dei dati e se un responsabile ci deve essere io non capisco perché non ci sia”.
Ma ci sono altri problemi, secondo Orecchioni: “Quando c’è l’evacuazione come si fa? Occorre portare l’elenco dei presenti. Prima c’era il registro, ma ora come si fa? Con il tablet? E se in caso di terremoto la corrente fosse andata via come si gestirebbe la cosa? Peraltro, nei giorni normali spesso non c’è la linea ma il docente dovrebbe mettere in tempo reale la presenza o l’assenza dello studente. Il registro fa fede perché ha natura di atto pubblico e se per ipotesi uno studente avesse fatto una rapina e nove mesi dopo dimostrasse la sua presenza a scuola dal registro, quella rapina per la legge non l’ha fatta. Ora per la prima volta qualcuno ha toccato la questione e ha tirato in campo il Garante. Mi riferisco la docente che ha subìto 11 giorni di sopensione per essersi rifiutato di usare il registro elettronico”.
Orecchioni sottolinea come nel registro elettronico, che è disponibile sul pc acceso in ogni aula o nei tablet e negli smartphone di centinaia di migliaia di docenti, vengano trattati dati relativi a situazioni personali anche di alunni con handicap. “Questi dati un tempo restavano a scuola, c’era solo un verbale – osserva l’avvocato Orecchioni – Ora, una volta che vanno nel web, questi dati dovrebbero restare anonimi ma sussiste un problema di sicurezza e sarebbe opportuno che si nominasse un responsabile del trattamento dei dati”. C’è da dire che ogni docente usa la massima accortezza nel gestire la segretezza di quanto scrive nel proprio dispositivo, ma, prosegue il legale, “può capitare che l’insegnante esca dall’aula e lasci il tablet acceso o il pc in sala insegnanti che è collegato al sito della scuola con la password inserita. Una volta che i dati sono gestiti a livello nazionale è necessario che la cosa venga regolamentaa con le dovute cautele”.
Segnaliamo noi che per ridurre al minimo i rischi, i registri, in genere, sono implementati in maniera che la connessione resti operativa per pochi minuti dopo l’ultimo utilizzo, ma il problema non si può escludere completamente”. In ogni caso, puntualizza Orecchioni, fin dall’inizio si era rilevato che l’adozione del registro elettronico da parte delle scuole non era stata accompagnata dalle opportune verifiche da parte delle competenti Autorità ed in particolare da parte del Garante per la privacy.
Recentemente, a seguito di segnalazione da parte di un docente sottoposto a ben quattro procedimenti disciplinari per non aver usato il Registro Elettronico allo scopo di tutelare la privacy dei propri alunni e delle famiglie, il Garante ha ritenuto di intervenire chiedendo all’istituto di servizio del docente di fornire adeguate informazioni a riguardo, specificando in particolare:
a) la base giuridica del trattamento;
b) le misure con cui viene garantito il rispetto del principio di trasparenza nei confronti degli interessati, in particolare attraverso le informazioni che devono essere fornite ai docenti, genitori e alunni, ai sensi degli artt. 13 e 14 del Regolamento (Ue) 2016/679, con specifico riferimento all’utilizzo del registro elettronico;
c) il ruolo assunto dalla società in relazione al trattamento dei dati personali contenuti nel registro elettronico (es. responsabile del trattamento) in base alla disciplina in materia di protezione dei dati personali, fornendo altresì copia dei relativi atti giuridici;
d) le tipologie di dati trattati nell’ambito del suddetto registro, specificando quelle che devono essere obbligatoriamente inserite a cura della scuola; e) le istruzioni fornite al personale autorizzato ad accedere al registro elettronico;
f) le misure tecniche e organizzative adottate al fine di garantire un’adeguata sicurezza dei dati personali trattati tramite il registro elettronico;
g) i tempi di conservazione dei dati;
h) l’eventuale valutazione di impatto effettuata ai sensi dell’art. 35 del Regolamento.
In merito alla tematica relativa all’utilizzo del registro elettronico, il Garante ha ricordato che il Miur avrebbe dovuto predisporre un “Piano per la dematerializzazione delle procedure amministrative in materia di istruzione, università e ricerca e dei rapporti con le comunità dei docenti, del personale, studenti e famiglie” che non risulta, a tutt’oggi, adottato. Sembrerebbe inoltre che siano emersi taluni profili critici derivanti dall’utilizzo del registro elettronico, in relazione al quale non sarebbe stata effettuata una valutazione d’impatto sui diritti e le libertà degli interessati ai sensi dell’art. 35 del Regolamento UE) 2016/679”.
