WebEduCenter - Formazione - Web-Agency - Consulenza Informatica
Web Portale WebEduCenter
 
Formazione






























Inserisci la tua e-mail per essere informato sulle novità e le offerte.

LEGGE PRIVACY 196/03

Gestione dati e privacy
Principi e nozioni generali
In questa pagina
Introduzione
1 - Principio di necessità (art. 3 Codice)
2 - Nozione di dato personale (art. 4 Codice)
3 - Nozione di dato identificativo (art. 4 Codice)
4 - Nozione di dato giudiziario (art. 4 Codice)
5 - Nozione di dato sensibile (artt. 4, 20, 22 e 26 Codice)
6 - Nozione di dato particolare (art. 17 Codice)
7 - Nozione di trattamento (art. 4 Codice)
8 - L’ambito di applicazione (art. 5 Codice)
9 - Modalità del trattamento e requisiti dei dati (art. 11 Codice)
10 - Natura della raccolta dei dati e conseguenze di un eventuale rifiutodi rispondere (art. 13 Codice)

Introduzione
Il 29 luglio 2003 è stato pubblicato in Gazzetta Ufficiale il D. Lgs. 30 giugno 2003 n. 196, “Codice in materia di protezione dei dati personali” che costituisce il Testo Unico della Privacy, inglobando e novellando allo stesso tempo le diverse disposizioni normative in materia (che si erano andate stratificando dopo l’emanazione della legge 675 del 1996) e dando attuazione alla direttiva comunitaria 58/02.

Il Codice è suddiviso in tre parti:

Parte I: Disposizioni Generali volte a definire le regole sostanziali per la raccolta ed il trattamento dei dati personali con riferimento generale a tutti i trattamenti, salvo quanto previsto dalle disposizioni della Parte II;

Parte II: Disposizioni relative a Specifici Settori che individuano le regole applicabili a particolari ambiti (sanitario, statistico, lavoro, comunicazioni elettroniche, ecc.);

Parte III: Tutela dell’interessato e sanzioni.

Inizio pagina
1 - Principio di necessità (art. 3 Codice)
Il Codice introduce il principio di necessità che costituisce un ampliamento dei principi (già presenti sotto la precedente normativa) di pertinenza e non eccedenza dei dati rispetto alle finalità del trattamento.

In base ad esso i sistemi informativi ed i programmi informatici dovranno essere predisposti in modo da assicurare che i dati personali siano utilizzati solo e nella misura in cui sia necessario per il raggiungimento delle specifiche finalità che il titolare si prefigge. In caso contrario sarà necessario (i) utilizzare dati in forma anonima o (ii) adottare modalità che permettano di identificare l’interessato solo in caso di necessità.

Il Titolare, unitamente al Responsabile dei sistemi informativi, deve quindi preventivamente adottare procedure organizzative, informatiche e materiali che permettano al singolo incaricato l’accesso ai soli dati necessari alle sue specifiche mansioni.

Suggerimento: in pratica il Responsabile del personale dovrà, ogniqualvolta venga assunto o comunque entri in società un nuovo soggetto, determinare gli ambiti di trattamento a lui consentiti e comunicarli all’Amministratore di sistema, ove nominato, che a sua volta dovrà autorizzare, rendere possibili e monitorare costantemente gli accessi.


Inizio pagina
2 - Nozione di dato personale (art. 4 Codice)
Per dato personale si intende qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. Il Codice conferisce importanza a qualunque informazione che possa consentire l’individuazione – anche indiretta – del soggetto cui l’informazione stessa si riferisce, anche attraverso elementi di tipo diverso come fotografie, filmati, estremi di documenti di identità, PIN, indirizzo IP, impronte digitali, caratteristiche biometriche, caratteri alfanumerici ecc.

In base ad esso i sistemi informativi ed i programmi informatici dovranno essere predisposti in modo da assicurare che i dati personali siano utilizzati solo e nella misura in cui sia necessario per il raggiungimento delle specifiche finalità che il titolare si prefigge. In caso contrario sarà necessario (i) utilizzare dati in forma anonima o (ii) adottare modalità che permettano di identificare l’interessato solo in caso di necessità.

Il Titolare, unitamente al Responsabile dei sistemi informativi, deve quindi preventivamente adottare procedure organizzative, informatiche e materiali che permettano al singolo incaricato l’accesso ai soli dati necessari alle sue specifiche mansioni.


Osservazione: il Garante, per chiarire il concetto di “identificabilità” dell’interessato, ha utilizzato il riferimento agli “sforzi ragionevolmente prevedibili” che il titolare può porre in essere per identificare – appunto – l’interessato: ciò significa che se di un soggetto del quale abbiamo alcuni dati personali, non conosciamo il nome e cognome, non significa che le informazioni in nostro possesso siano anonime; esse saranno comunque “personali” ai sensi di legge se siamo in grado con uno sforzo ragionevole e medio (non certo assumendo un investigatore) di identificare il soggetto cui si riferiscono. Altro esempio: se nell’ambito lavorativo viene proposto ai dipendenti un questionario sulle procedure aziendali interne e a tal fine non viene chiesto il nome e cognome dell’intervistato ma solo l’area di appartenenza o il nome del diretto superiore, sarà difficile considerare il questionario “anonimo” in quanto si deve ritenere che con uno sforzo ragionevole sia possibile risalire all’identità del dipendente intervistato.


Inizio pagina
3 - Nozione di dato identificativo (art. 4 Codice)
Il dato identificativo è il dato personale che consente l’identificazione diretta del soggetto interessato, quale il nome, il cognome, la data di nascita e il codice fiscale.


Inizio pagina
4 - Nozione di dato giudiziario (art. 4 Codice)
Si tratta di quei dati personali diretti a rivelare:

• le iscrizioni nel casellario giudiziario delle condanne penali, delle pene inflitte, delle pene convertite e quant’altro venga iscritto nel casellario giudiziario, ad eccezione delle sentenze dichiarative di fallimento e dei provvedimenti di interdizione, inabilitazione e revoca;

• le sanzioni amministrative dipendenti da reato;

• i carichi pendenti;

• la qualità di imputato o indagato.

Il trattamento dei dati giudiziari è consentito soltanto se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichi le rilevanti finalità di interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili.

Osservazione: la nozione di dato giudiziario è cambiata per effetto del Codice. Sotto la vigenza della precedente normativa tale nozione si riferiva ai soli provvedimenti di condanna passati in giudicato; oggi è sufficiente che un soggetto sia indagato affinché la circostanza configuri dato giudiziario. Tale modifica amplia moltissimo lo spettro di questi dati, imponendo al Titolare di approntare opportune procedure per la loro raccolta, conservazione, comunicazione e distruzione.


Inizio pagina
5 - Nozione di dato sensibile (artt. 4, 20, 22 e 26 Codice)
I dati sensibili, come i dati giudiziari sopra esaminati, costituiscono un sottoinsieme dei dati personali e sono quelli inerenti a:

• origini razziali o etniche;

• convinzioni religiose, adesioni ad organizzazioni di carattere religioso;

• convinzioni filosofiche o di altro genere, adesioni ad organizzazioni a carattere filosofico;

• opinioni politiche;

• adesione a partiti politici o a organizzazioni a carattere politico;

• adesioni a sindacati o a organizzazioni a carattere sindacale;

• stato di salute;

• vita sessuale.

Ai dati sensibili la legge riserva una tutela maggiormente restrittiva: per poter trattare in modo legittimo tali dati occorre, infatti, non solo il consenso scritto dell’interessato (a seguito della relativa informativa) ma anche la previa autorizzazione del Garante.

Il Garante, al fine di non sovraccaricare di adempimenti quei settori nei quali il trattamento di dati sensibili è obbligatorio per legge (si pensi ai dati dei lavoratori dipendenti o a quelli trattati per fini difensivi), emana, rinnovandole annualmente, delle Autorizzazioni Generali. Tali provvedimenti autorizzano il trattamento dei dati sensibili a categorie omogenee di Titolari e di trattamenti.


Inizio pagina
6 - Nozione di dato particolare (art. 17 Codice)
Il Codice, riprendendo una categoria già introdotta dal decreto legislativo 467/01, disciplina i dati particolari senza tuttavia specificarne esaurientemente i caratteri identificativi.

Tali dati sono genericamente individuati in tutte quelle informazioni (diverse da quelle sensibili e giudiziarie) il cui trattamento può comportare rischi specifici per i diritti e le libertà dei soggetti cui si riferiscono e che necessitano di particolari accorgimenti.

Il loro trattamento dovrà rispettare eventuali misure ed accorgimenti che potranno essere prescritti dal Garante a seguito di verifiche preliminari.

Più precisamente, i dati particolari sono definiti dal legislatore come quei dati il cui trattamento presenti rischi specifici. In generale, si tratta di dati che, pur non essendo così “delicati” come quelli sensibili e giudiziari richiedono, per il loro trattamento, il rispetto delle misure e degli accorgimenti prescritti dal Garante a garanzia dei soggetti interessati.


Inizio pagina
7 - Nozione di trattamento (art. 4 Codice)
Per trattamento s’intende qualunque operazione o complesso di operazioni, che siano effettuate su dati (anche senza l'ausilio di strumenti elettronici ed anche senza registrazione in una banca di dati) con riferimento a:

• raccolta,

• registrazione,

• organizzazione,

• conservazione,

• consultazione,

• elaborazione,

• modificazione,

• selezione,

• estrazione,

• raffronto,

• utilizzo,

• interconnessione,

• blocco,

• comunicazione,

• diffusione,

• cancellazione,

• distruzione.

E’ evidente che tali attività costituiscono un insieme ampio che comprende ogni possibile operazione su dati di clienti o di terzi che un’azienda, un ente o un diverso tipo di organizzazione detiene, a prescindere dal tipo di organizzazione (informatizzata o meno) predisposta dal Titolare.

Osservazione: si evidenzia l’introduzione del concetto di “consultazione”, non previsto dalla previgente legge 675 del 1996. Tale concetto poteva soltanto essere reperito tra le righe della vecchia disciplina. Il legislatore ha voluto oggi renderlo espresso. Ha voluto cioè stabilire che anche la semplice lettura di un dato costituisce trattamento, al fine di evitare che l’eventuale apprendimento di dati da parte di un soggetto esterno o comunque non autorizzato dal Titolare possa sfuggire all’applicazione della legge.
Di conseguenza, all’interno della sua organizzazione, il Titolare deve preoccuparsi di proteggere i dati anche da questo tipo di attività prevedendo lettere/accordi di riservatezza per quei soggetti che si trovino occasionalmente a leggere i dati (addetti alla manutenzione di hardware o software, personale delle pulizie ecc.).


Inizio pagina
8 - L’ambito di applicazione (art. 5 Codice)
L’ambito di applicazione delle disposizioni in materia di Privacy subisce una modifica significativa rispetto alla vecchia legge.

Le disposizioni del Codice regolano qualsiasi trattamento di dati personali che venga effettuato da chiunque sia “stabilito” nel territorio dello Stato, anche se i dati vengano poi detenuti all’estero.

Con il termine “stabilito” il legislatore fa riferimento alla presenza di una stabile organizzazione economica anche se si tratta di una succursale, una filiale o un ufficio.

Per quel che riguarda i trattamenti eseguiti al di fuori della UE, ma che impiegano strumenti (anche non elettronici) situati in Italia, non ci sono sostanziali modifiche. Sarà quindi ancora necessario che il Titolare designi un rappresentante stabilito in Italia, a meno che non si tratti di modalità di puro transito.

Osservazione: il problema del trasferimento estero riguarda prevalentemente quelle società che sono controllate o collegate con società estere extracomunitarie. I data base in comune, il trasferimento dei dati dei dipendenti e/o dei clienti comportano notevoli conseguenze giuridiche. Pur non potendosi in questa sede affrontare il problema in termini esaustivi, basti qui accennare alla necessità di fare attenzione, nel caso concreto, ad inserire le dovute spiegazioni nelle informative ed anche a predisporre le opportune privacy policies, nonché gli eventuali contratti di trasmissione transfrontaliera dei dati.


Inizio pagina
9 - Modalità del trattamento e requisiti dei dati (art. 11 Codice)
La descrizione delle modalità di trattamento è pressoché identica a quella stabilita dalla legge 675/96.

A carico del Titolare è previsto un obbligo generale di correttezza nei confronti dell’interessato in occasione di tutte le operazioni di trattamento. Secondo il Codice ogni fase del trattamento deve essere conforme a quanto previsto dalla disciplina sulla Privacy. I dati devono essere trattati per motivi determinati, espliciti e legittimi e le successive operazioni di trattamento devono essere compatibili con le finalità dichiarate al momento della raccolta. La violazione delle disposizioni relative alle modalità del trattamento comporta l’impossibilità per il Titolare di utilizzare i dati trattati.

Nell’ambito delle modalità del trattamento, l’individuazione puntuale delle finalità (cioè degli scopi per cui si raccolgono determinate categorie di dati) rappresenta senza dubbio uno degli adempimenti fondamentali richiesti dalla legge.

Il Titolare deve individuare e determinare preventivamente le finalità e gli scopi ai quali la raccolta ed il trattamento sono tesi; tali scopi devono essere determinati, espliciti e legittimi, non essendo ammissibile una indicazione vaga o generica.

Suggerimento: le modalità del trattamento devono essere adeguatamente disciplinate e sufficientemente articolate, in modo da costituire un vero e proprio paragrafo nel Mansionario Privacy perché la comprensione del concetto di pertinenza e di non eccedenza non sempre è agevole da parte degli Incaricati e va loro illustrato con chiarezza al fine di mettere costoro nella condizione di trattare correttamente i dati. Agli Incaricati va anche precisato che i dati devono essere trattati per le sole finalità dichiarate agli interessati; inoltre è fondamentale non raccogliere più dati di quelli effettivamente essenziali.


Inizio pagina
10 - Natura della raccolta dei dati e conseguenze di un eventuale rifiutodi rispondere (art. 13 Codice)
Sembra utile accennare (nell’ambito dei principi generali qui descritti) alle conseguenze di un eventuale rifiuto di fornire i dati (che non va confuso con un mancato consenso).

Infatti, in base a quanto previsto dalla legge, il Titolare già nell’informativa è tenuto a specificare se il conferimento dei dati sia “obbligatorio” o “facoltativo”: nel primo caso è opportuno specificare in base a quali disposizioni vi sia l’obbligo.

A tale riguardo, l’aggettivo “obbligatorio” si deve riferire ad eventuali disposizioni normative, non ad una mera decisione del soggetto che tratta i dati: ad esempio, un’impresa che offrisse un determinato servizio gratuito solo a chi fosse disposto a rilasciare determinati dati di natura personale, non potrebbe indicare che tale conferimento di dati è obbligatorio; dovrebbe invece più correttamente informare il soggetto interessato che, come conseguenza dell’eventuale rifiuto di rispondere, il servizio gratuito non può essere erogato. È inoltre necessario precisare chiaramente quali siano le conseguenze dell’eventuale rifiuto di rispondere. In merito, il Garante ha avvertito diversi soggetti economici (tra cui le banche per prime) che hanno fornito una informativa tesa a “drammatizzare” le conseguenze di un eventuale rifiuto di fornire i dati, prospettando ad esempio immediate chiusure dei rapporti di conto corrente e “spacciando” per obbligatorio il conferimento di taluni dati, che era in realtà del tutto facoltativo, essendo gli stessi semplicemente utili per azioni di marketing, da parte del titolare del trattamento.

Il Garante, a tale proposito, ha chiarito che “non è conforme alla legge la prospettazione della circostanza che il rifiuto di fornire i dati personali possa comportare la mancata prosecuzione del rapporto, inducendo così l'interessato a confondere situazioni che hanno rilevanza giuridica diversa. È fondamentale, invece, che l'interessato venga posto nella condizione di distinguere se i dati che deve fornire corrispondano ad un obbligo previsto dalla legge o dal contratto in essere o invece siano solo strettamente funzionali all'esecuzione strumentale del rapporto come l’offerta di nuovi prodotti e servizi”.

Capitolo tratto da M. D'Argenio, M. Gobbato, Gestione dati e privacy, Assago (MI), Edizioni FAG, 2005.

Link

 

Documento programmatico sulla sicurezza (Check list)

Opposizione al trattamento dei dati per motivi legittimi

Notificazione - Modello 2004

Informativa ex art.13 D.Lgs. 196/2003 per il trattamento di dati sensibili

Informativa ex art. 13 D.Lgs. 196/2003

Esercizio dei diritti da parte dell'interessato - Richiesta di rettifica o aggiornamento di dati

Esercizio dei diritti da parte dell'interessato - Richiesta di cancellazione o blocco di dati

Esercizio dei diritti da parte dell'interessato - Informazioni sull'esistenza di dati presso archivi

Acquisizione del consenso dell'interessato per il trattamento di dati sensibili

Acquisizione del consenso dell'interessato al trattamento dei dati

Accesso al registro dei trattamenti tenuto dal Garante



 

Provvedimento Garante per la protezione dei dati personali 26/07/2005, G.U. 08/08/2005, n. 183
- Nella redazione del Portfolio degli alunni devono essere osservate misure a tutela della privacy




Provvedimento Garante per la protezione dei dati personali 26/07/2005, G.U. 08/08/2005, n. 183
- Nella redazione del Portfolio degli alunni devono essere osservate misure a tutela della privacy


Introduzione di un documento di valutazione ed orientamento, denominato «Portfolio (o cartella) delle competenze individuali».

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;
Vista la normativa internazionale e comunitaria in materia di protezione dei dati personali (direttiva n. 95/46/CE), anche in relazione agli articoli 2, 10, 11 e 33 della Costituzione;
Visto il Codice in materia di protezione dei dati personali (decreto legislativo 30 giugno 2003, n. 196); Visto il decreto legislativo 19 aprile 2004, n. 59 (Definizione delle norme generali relative alla scuola dell'infanzia e al primo ciclo dell'istruzione, a norma dell'art. 1 della legge 28 marzo 2003, n. 53);
Vista la documentazione in atti;
Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore il dott. Mauro Paissan;
Considerato:

1. Premessa.
La riforma della scuola dell'infanzia e del primo ciclo di istruzione - scuola primaria e scuola secondaria di primo grado - ha introdotto la redazione di un documento di valutazione ed orientamento, denominato «Portfolio (o cartella) delle competenze individuali», da redigere singolarmente per ciascun alunno.
Il Portfolio documenta nei predetti cicli di istruzione i processi formativi degli alunni e ne accompagna in tali ambiti il percorso scolastico illustrando in un unico contesto, come strumento didattico, la formazione, l'orientamento e i progressi educativi.
La normativa di riferimento (decreto legislativo 19 aprile 2004, n. 59) prevede a tal fine una documentazione sistematica anche degli elaborati degli alunni, volta a comprendere ed interpretare i loro interessi, le attitudini, i comportamenti e le aspirazioni personali.
Il Portfolio e' compilato e aggiornato (nella scuola d'infanzia) dai docenti di sezione, ovvero (nella scuola primaria e secondaria di primo grado) dal docente coordinatore-tutor dell'alunno in collaborazione con altri docenti, alunni e loro genitori, i quali possono apportarvi alcune annotazioni (allegati A, B) e C) del citato decreto).
Il Garante ha ricevuto reclami e segnalazioni di genitori di alunni che lamentano possibili violazioni della riservatezza derivanti dalle modalita' con cui istituti scolastici pubblici e privati trattano dati di carattere personale in relazione al Portfolio.
Rispondendo alla richiesta dell'Autorita' (nota del 31 maggio 2005), il Ministero dell'istruzione, dell'universita' e della ricerca - Dipartimento per l'istruzione (lettera del 20 giugno 2005) ha fornito alcune informazioni.
Il Ministero ha anche convenuto sulla necessita' di raccogliere nel Portfolio «dati personali esclusivamente se pertinenti e non eccedenti e, nel caso dei dati sensibili, solamente se indispensabili per la valutazione e l'orientamento dell'alunno»; si e' poi dichiarato disponibile ad inviare una nota esplicativa da far pervenire, tramite gli uffici scolastici regionali, a tutte le istituzioni scolastiche, affinche' queste si conformino al Codice in materia di protezione dei dati personali nella compilazione e gestione del Portfolio. A conclusione dell'esame preliminare dei reclami e delle segnalazioni, il Garante ritiene necessario prescrivere a tutti gli istituti scolastici di adottare alcune misure volte a favorire il rispetto dei diritti e delle liberta' fondamentali dei cittadini, nonche' della loro dignita', con particolare riferimento alla riservatezza, all'identita' ed alla protezione dei dati personali (art. 2, comma 1, del Codice), considerata la quantita', la varieta' e la delicatezza delle informazioni che possono essere inserite nel Portfolio e l'ingente numero dei minori e familiari interessati.

2. Le principali questioni.
Le problematiche rappresentate al Garante riguardano la liceita' e la correttezza del trattamento dei dati personali confluenti nel Portfolio, relativi al percorso scolastico e alla vita privata e sociale degli alunni.
Non e' previsto, a livello nazionale, un modello tipo di Portfolio sul piano della forma e dei contenuti in dettaglio del documento.
Cio' determina la proliferazione di documenti molto diversi da scuola a scuola, come dimostrano alcuni modelli gia' esaminati dal Garante, nei quali e' richiesto l'inserimento di tipologie di dati personali assai differenti (o e' possibile inserirli o chiedere il loro inserimento) e nei quali l'alunno puo' illustrare rapporti interpersonali di natura privata e vicende familiari.
Dalle risposte fornite ad alcune delle domande proposte nei modelli esaminati (quali, ad esempio, l'indicazione dell'utilizzo della lingua madre solo nel paese di origine, la motivazione alla base di un trasferimento, anche di nazione, del bambino, la descrizione di particolari vicende che hanno caratterizzato il periodo post-natale), possono evincersi informazioni particolarmente delicate come lo stato di adozione di un minore, nei confronti delle quali l'ordinamento impone precise cautele (legge 4 maggio 1983, n. 184, in particolare articolo 28).
In alcuni casi, sono richieste informazioni relative al profilo psicologico dell'alunno (descrizione di paure o disagi del minore), al suo stato di salute (notizie su particolari patologie sofferte, eventuali ricoveri ospedalieri), al suo credo religioso, all'ambiente sociale di estrazione (acquisizione di informazioni sui suoi familiari) e ad altri delicati aspetti della sfera privata e a quella di natura strettamente familiare.
La diversita' dei modelli di Portfolio agevola, quindi, una piu' ampia annotazione di informazioni sensibili (che il Codice individua nei dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonche' i dati personali idonei a rivelare lo stato di salute e la vita sessuale: art. 4, comma 1, lettera d), del Codice).

3. Come trattare i dati personali.
La compilazione e la tenuta del Portfolio determina un trattamento di dati personali. L'istituto scolastico frequentato dall'alunno ne e' il titolare, stante l'autonomia funzionale, didattica, organizzativa e di ricerca, sperimentazione e sviluppo ad esso riconosciuta (articoli 4, comma 1, lettera f) e 28 del Codice; decreto del Presidente della Repubblica 8 marzo 1999, n. 275).
Tale trattamento deve rispettare le disposizioni del Codice e, in particolare, i principi di seguito richiamati. In caso di loro violazione, i dati personali trattati non possono essere utilizzati (art. 11, comma 2, del Codice).
Principio di finalita' (art. 11, comma 1, lettera b), del Codice).
Il trattamento di dati personali effettuato mediante il Portfolio e' consentito solo per raggiungere le finalita' individuate direttamente dalla predetta legislazione di riforma (decreto legislativo n. 59/2004 cit.), ovvero per valutare l'apprendimento e il comportamento degli studenti e per certificare le competenze da essi acquisite.
Non sono perseguibili ulteriori finalita' attinenti, ad esempio, all'individuazione del profilo psicologico degli alunni o alla raccolta di informazioni sul loro ambiente sociale e culturale di provenienza.
Principio di necessita' (art. 3 del Codice).
Laddove le finalita' del Portfolio possono essere perseguite anche senza trattare dati personali, oppure dati identificativi, il trattamento deve riguardare solo dati anonimi (che non riguardano, cioe', interessati identificati o identificabili), oppure, rispettivamente, dati non identificativi (che permettono, cioe', di identificare direttamente un interessato).
Principio di proporzionalita' (art. 11, comma 1, lettera d), del Codice).
Quando, osservando il principio di necessita', si devono trattare dati personali, deve verificarsi in ogni singola fase del loro trattamento se, e come, determinate operazioni (di raccolta, esame, annotazione, eventuale registrazione, ecc.) siano effettivamente pertinenti e non eccedenti rispetto alla finalita' di valutazione dell'alunno.
Principio di indispensabilita' (art. 22, comma 3; aut. gen. nn. 2/2004 e 3/2004)
Particolare rigore deve essere osservato per quanto riguarda l'eventuale raccolta e registrazione di dati sensibili, i quali sono acquisibili, attraverso una valutazione obiettiva e selettiva, solo se realmente indispensabili per valutare il processo formativo.

4. Prescrizioni da osservare.
Con il presente provvedimento, a garanzia degli interessati, il Garante prescrive ai titolari del trattamento di osservare, in attuazione dei predetti principi, anche le seguenti misure volte a conformare pienamente i trattamenti alle vigenti disposizioni in materia di protezione dei dati personali (art. 154, comma 1, lettera c) del Codice), invitando il Ministero dell'istruzione, dell'universita' e della ricerca a recepire le prescrizioni medesime nella nota esplicativa che lo stesso si e' riservato di far pervenire, tramite gli uffici scolastici regionali, a tutti gli istituti scolastici.
Ciascun istituto scolastico, in qualita' di titolare del trattamento, deve attuare le seguenti misure: Predisposizione del modello di Portfolio.
Nel predisporre il modello di Portfolio, occorre adottare ogni opportuna soluzione per prevenire che vengano raccolti dati sensibili o che sono oggetto, nell'ordinamento, di particolari cautele (es., dati relativi allo stato di affidamento o di adozione), quando gli stessi non siano strettamente indispensabili per raggiungere le finalita' di documentazione perseguite. Cio', con particolare riferimento ai campi nei quali l'alunno potrebbe descrivere alcuni suoi rapporti interpersonali di natura privata o vicende familiari. I riferimenti a tali vicende sono del tutto eventuali nel Portfolio, che deve rimanere uno strumento didattico per favorire solo la personalizzazione dei processi formativi scolastici.
Informare gli interessati.
Prima di consentire la compilazione del Portfolio, chi esercita la potesta' sull'alunno deve essere informato specificamente in merito al trattamento dei dati personali.
Nell'informativa occorre indicare gli elementi previsti dall'art. 13 del Codice e, in particolare, quali sono le finalita' perseguite, se e' necessario o facoltativo conferire i dati di natura personale, quali sono le conseguenze di un eventuale rifiuto a fornirli, quali soggetti possono consultare il Portfolio e per quali scopi. Istruzioni per la compilazione.
L'istituto deve impartire idonee istruzioni ai docenti che sovraintendono alla compilazione del Portfolio, affinche' adottino particolari cautele nel momento in cui inseriscono o consentono di inserire dati personali, in particolare quelli particolarmente delicati o sensibili sopra evidenziati.
Presupposti per inserire dati sensibili.
Per quanto riguarda i dati sensibili, alcuni presupposti giuridici per trattare i dati sono diversi a seconda che l'istituto scolastico sia di natura privata o pubblica.
Le istituzioni scolastiche private devono acquisire il consenso specifico, preventivo e scritto da parte degli esercenti la potesta'; devono poi rispettare le prescrizioni contenute nelle autorizzazioni generali del Garante al trattamento dei dati sensibili (art. 26 del Codice e autorizzazioni nn. 2 e 3 del 2004, rinvenibili anche sul sito www.garanteprivacy.it, efficaci sino al 31 dicembre 2005).
Le istituzioni scolastiche pubbliche non devono richiedere il consenso; devono invece indicare nell'atto di natura regolamentare che deve essere adottato entro il 31 dicembre 2005, in conformita' al parere del Garante, i tipi di dati trattabili e le operazioni eseguibili in relazione alla tematica in esame (articoli 20 e 154 del Codice, cfr. Provv. del Garante del 30 giugno 2005). Mancando un potere regolamentare in capo ai singoli istituti scolastici, e in relazione ai compiti attribuiti al Ministero (art. 75 legge 30 luglio 1999, n. 300), l'Autorita' ha rivolto a quest'ultimo l'invito ad adottare uno schema di regolamento per il trattamento dei dati sensibili effettuato da parte di tutti gli istituti scolastici pubblici, da sottoporre al parere del Garante. Designare gli incaricati.
L'istituto deve designare i soggetti che possono accedere ai dati contenuti nel Portfolio quali incaricati o, eventualmente, responsabili del trattamento (articoli 30 e 29 del Codice).
Sicurezza dei dati.
Occorre garantire che il trattamento dei dati in questione avvenga nel pieno rispetto delle misure di sicurezza prescritte direttamente dal Codice (articoli 31-36 e allegato B)).
Garantire l'esercizio dei diritti.
Va garantito l'esercizio da parte di tutti gli interessati (e in particolare degli esercenti la potesta), dei diritti individuati dal Codice (art. 7) e, in particolare, del diritto di chiedere l'aggiornamento, la rettificazione, l'integrazione dei dati (quando vi sia interesse), la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non e' necessaria la conservazione in relazione alle finalita' di valutazione della formazione scolastica.
Breve conservazione dei dati.
Occorre individuare brevi periodi di eventuale conservazione dei dati personali raccolti nel Portfolio, in modo tale che gli stessi siano conservati solo in una forma che consenta di identificare gli interessati per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti e successivamente trattati (art. 11, comma 1, lettera e), del Codice).
Rilascio all'interessato.
Il Portfolio (alla stregua di quanto indicato negli allegati B) e C) al citato decreto legislativo n. 59/2004, secondo cui, nel passaggio al ciclo scolastico successivo, il Portfolio «si innesta su quello portato» dall'alunno) deve essere rilasciato allo studente alla fine del corso degli studi, affinche' lo stesso lo consegni, solo ove cio' sia previsto, al nuovo istituto scolastico.
Tutto cio' premesso,

Il Garante:

a) ai sensi dell'art. 154, comma 1, lettera c), del Codice, prescrive agli istituti scolastici di adottare le misure necessarie ed opportune indicate in motivazione, al fine di conformare i trattamenti di dati alle vigenti disposizioni;
b) dispone che copia del presente provvedimento sia inviata al Ministero dell'istruzione, dell'universita' e della ricerca - Dipartimento per l'istruzione, anche per il seguito indicato in motivazione;
c) dispone che copia del presente provvedimento sia trasmessa al Ministero della giustizia - Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale ai sensi dell'art. 143, comma 2, del Codice.
Roma, 26 luglio 2005

Copyright 2005-2008 © WebEduCenter | Privacy Policy