Decreto legislativo 30 giugno 2003, n° 196 A cura di Gabriella Burba.

49
Decreto legislativo 30 giugno 2003, n° 196 http://www.garanteprivacy.it/garante/navig/jsp /index.jsp?solotesto=N A cura di Gabriella Burba

Transcript of Decreto legislativo 30 giugno 2003, n° 196 A cura di Gabriella Burba.

Page 1: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

Decreto legislativo 30 giugno 2003, n° 196

http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?solotesto=N

A cura di Gabriella Burba

Page 2: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

TUTELA DEI DATI PERSONALI

Un po' di storia

Nel 1970, il governo svedese decise di attribuire un codice di riconoscimento individuale a tutti i cittadini (simile al nostro codice fiscale). Furono avviati una serie di programmi sociali, tra i quali un progetto per l'archiviazione su "calcolatore" dei dati sanitari e delle cartelle cliniche dei cittadini, con possibilità di accesso tramite terminali collegati alla rete telefonica pubblica. In caso di emergenza (ad esempio in caso di incidente stradale) il medico del pronto soccorso, utilizzando il codice personale del malato, poteva leggere i dati sanitari dell'individuo ed intervenire. Qualche tempo dopo, fece notizia il caso di un cittadino che si vide rifiutare un posto di lavoro perché nella sua cartella clinica elettronica era riportata l'informazione che un prozio aveva mostrato sintomi di alterazione delle facoltà mentali.La normativa sulla Privacy nacque quindi con lo scopo di evitare che i dati sensibili di ogni individuo vengano utilizzati al di fuori dei fini per i quali questi dati sono stati raccolti. Un’informazione utile dal punto di vista clinico, ad esempio, deve essere utilizzata solo ed esclusivamente nell’ambito delle argomentazioni mediche.

Page 3: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

Legge 241/90 integrata dalla L. 15/2005 (e successivo regolamento)

Nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi

In vigore: da coordinare, per gli enti pubblici, con il Codice sulla privacy

La normativa sulla privacy in Italia

Malgrado le prime proposte volte a regolamentare la tutela della privacy in Italia risalgano agli anni ’80, anche grazie alle iniziative di sensibilizzazione ed alle sollecitazioni provenienti dall’Unione Europea, solo nel 1996 fu approvata la Legge N 675, cd. Codice di Protezione della Privacy, che recepiva anche nel nostro paese i principi sanciti da una specifica Direttiva Comunitaria in materia. Poi entrò in vigore il D. lgvo 135/1999 sul trattamento di dati sensibili da parte di soggetti pubblici.Più recentemente, l’ultimo provvedimento normativo del legislatore italiano in tema di tutela della riservatezza individuale è stato il Decreto Legislativo N° 196 del Giugno 2003, denominato “Codice in materia di protezione dei dati personali”.Nel nuovo Codice sono stati delineati in modo più approfondito sia i principi generali che alcune tematiche settoriali, già regolamentate dalla precedente legge (ad esempio, la riservatezza nelle comunicazioni elettroniche).

Page 4: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

Struttura

Il Codice si compone di 3 parti + Allegati:

Parte I – Disposizioni generali

Parte II – Disposizioni relative a specifici settori

Parte III – Tutela dell’interessato e sanzioni

Allegati

• Codici deontologici

• Disciplinare tecnico in materia di misure minime di

sicurezza

• Trattamenti non occasionali effettuati in ambito giudiziario o per fini di polizia

Page 5: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

La sicurezza dei dati personali non deve essere considerata come una serie di ulteriore balzelli burocratici a cui dover adempiere acriticamente. Quello che il Codice, in realtà, impone è un adattamento delle attività professionali ed aziendali (private e pubbliche) alle nuove esigenze provenienti dalla moderna vita di relazione. La società dell'informazione è costituita, infatti, da una fitta rete di rapporti e relazioni interpersonali, reali e virtuali, in cui l'elemento primario è l'informazione. Alla luce della pacifica considerazione che le innovazioni tecnologiche hanno prodotto contemporaneamente risultati positivi di estremo rilievo ed, inevitabilmente, la nascita di nuove ed insidiose fonti di pericolo, meritano estrema tutela, a causa della loro rilevanza, le informazioni personali. È per questo motivo che il Codice della Privacy impone di adottare una serie di misure tecniche, informatiche, organizzative, logistiche e procedurali, tendenti a realizzare un livello di sicurezza proporzionato ai rischi previsti per il tipo di attività che in concreto viene esercitata.

La sicurezza dei dati personali non è esclusivamente affidata alle misure di sicurezza logiche (antivirus, password…) o fisiche (lucchetti, sistemi di videosorveglianza…) ma anche e principalmente all'attenzione dell'operatore che quotidianamente si trova a gestirli e "trattarli".

Page 6: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

Comunicato stampa - 23 aprile 2009    Pizzetti: migliorare e rendere più effettiva la protezione dei dati dei cittadini europei

• "Occorre migliorare e rendere più effettiva la protezione dei dati personali dei cittadini europei.." È quanto chiede Francesco Pizzetti, Presidente dell'Autorità italiana per la privacy, intervenendo oggi alla annuale Conferenza di primavera delle Autorità europee per la protezione dei dati in corso a Edimburgo.

• "Lo scenario nel quale opera la Direttiva europea sulla protezione dei dati – ha spiegato Pizzetti ai suoi omologhi europei  – è in questi anni profondamente cambiato e questo ha posto, pone e porrà problemi complessi di ridefinizione del significato della protezione dei dati, del tipo di regole di cui abbiamo effettivamente bisogno, del ruolo che devono svolgere le Autorità per la privacy".

• L'Autorità italiana si muove già da tempo verso questi obiettivi… • Ma per aumentare la soglia di protezione dei dati sono necessarie profonde

innovazioni che non possono essere limitate al modo di operare delle Autorità o alla revisione della stessa Direttiva europea in materia di privacy. Il Presidente Pizzetti indica alcune priorità: regole vincolanti e garanzie certe in caso di utilizzo per finalità di sicurezza di dati raccolti per scopi propri dai soggetti privati; regole comuni a livello europeo per i dati trattati da privati nel rapporto di lavoro; rapporti più chiari nello scambio di dati a fini commerciali anche in aeree extraeuropee. Infine, Internet: Pizzetti auspica la definizione di regole internazionali, condivise e vincolanti, per il trattamento elettronico dei dati e la creazione di un'Autorità sovranazionale in grado di garantirne il rispetto e l'efficacia.

• Edimburgo, 23 aprile 2009

Page 7: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.
Page 8: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

Il punto 19.6 del Disciplinare Tecnico, allegato B al Codice della Privacy, dispone "…la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali".

Page 9: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

Privacy:  La formazione obbligatoria degli Incaricati al trattamento dei dati  La normativa su tutti gli Incaricati (art. 30)  prevede che la loro nomina sia accompagnata da adeguate istruzioni. Il Codice privacy  tratta della formazione  nell’allegato  B , contenente il Disciplinare tecnico in materia  di misure minime di sicurezza. La regola  19.6 prevede  infatti interventi formativi  degli incaricati, per renderli edotti di una serie di argomenti. La stessa regola stabilisce  che la formazione deve essere  programmata: all’inizio dell’applicazione del Codice privacy  al momento  dell’ingresso in servizio di un  nuovo addetto, in occasione di cambiamenti  di mansioni,  in caso di introduzione di nuovi strumenti, rilevanti per il trattamento dei dati.

Inoltre, nel Documento Programmatico  sulla Sicurezza (DPS) è  obbligatorio indicare le misure  di sicurezza adottate e, fra queste, gli interventi formativi  previsti per  preparare  il personale  all’applicazione di  tali  misure.Come premesso, la regola 19.6  è una delle misure minime di sicurezza obbligatorie, quindi l’omissione costituisce  reato (comunque estinto con la regolarizzazione e il pagamento di una sanzione, secondo la modifica dell’art. 169 effettuata nel 2009)

Page 10: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

Requisiti  della  formazione

In conclusione, la lettura combinata delle  varie disposizioni del Codice porta a definire i seguenti  requisiti. Ogni addetto deve ricevere adeguata   formazione:

•di tipo  generale sulla disciplina della  protezione dei dati personali, ma specialmente  focalizzata sugli aspetti più  rilevanti in rapporto all’attività da lui  svolta

•sulle responsabilità che ne  derivano •sui rischi che incombono sui  dati e in particolare sui rischi specifici relativi alla sua

mansione  •sulle misure disponibili per  prevenire eventi dannosi  e in particolare su quelle 

specifiche della sua mansione  •sulle modalità per aggiornarsi  sulle misure di sicurezza  adottate  dal titolare (si noti

che il DPS va integrato al 31 marzo  di ogni anno con miglioramenti progressivi delle misure di sicurezza  e dell’organizzazione, quindi   al dipendente va spiegato cos’è e come si legge il DPS)

•integrativa in caso di cambio di mansione •integrativa in caso di  introduzione di nuove tecnologie o nuove misure di sicurezza 

che abbiano impatto significativo sul  trattamento dei dati •rinnovata e completa in caso di nuovo assunto (vale  anche per i lavoratori

temporanei o supplenti). •documentabile, perché – essendo  una misura di sicurezza obbligatoria - in caso di

controllo (casuale o a seguito di un esposto) viene richiesta la prova dell’applicazione.

Page 11: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

Definizioni (art. 4)a) "trattamento", qualunque operazione o complesso di operazioni, effettuati

anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca dati

b) "dato personale", qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;

c) "dati identificativi", i dati personali che permettono l'identificazione diretta dell'interessato

d) "dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale

Page 12: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

• e) "dati giudiziari", i dati personali idonei a rivelare provvedimenti … in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale;

• f) "titolare", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui

competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza: nelle scuole il D.S.

• g) "responsabile", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali: normalmente il DSGA

• h) "incaricati", le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile: docenti e personale ATA

• i) "interessato", la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali: soprattutto gli studenti, ma anche fornitori e dipendenti

• l) "comunicazione", il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato … per es. comunicare i nomi degli studenti ad un museo

Page 13: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

• m) "diffusione", il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma ... Per es. pubblicare sul sito i nomi degli studenti aderenti ad un progetto

• n) "dato anonimo", il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile;

• o) "blocco", la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento;

• p) "banca di dati", qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti: per i docenti il registro personale, per le segreterie gli archivi sia cartacei che informatici

• omissis• a) "misure minime", il complesso delle misure tecniche, informatiche,

organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell'articolo 31: per es. riporre i registri in contenitori chiusi a chiave, non salvare dati su pc. accessibili ad altri, non lasciare incustoditi documenti con dati personali, chiudere a chiave gli archivi

Page 14: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

Modalità del trattamento• I dati personali oggetto di trattamento sono:• a) trattati in modo lecito e secondo correttezza;• b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati

in altre operazioni del trattamento in termini compatibili con tali scopi;• c) esatti e, se necessario, aggiornati;• d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono

raccolti o successivamente trattati (principi di finalità, necessità, proporzionalità, indispensabilità per i dati sensibili)

• e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.

• 2. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati.

Page 15: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

Informativa

• L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa:

• a) le finalità e le modalità del trattamento cui sono destinati i dati;• b) la natura obbligatoria o facoltativa del conferimento dei dati;• c) le conseguenze di un eventuale rifiuto di rispondere;• d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere

comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;

• e) i diritti di cui all'articolo 7;• f) gli estremi identificativi del titolare e, se designati, del rappresentante nel

territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile.

Page 16: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

Il Garante sanziona le informative incomplete

Occorre specificare bene modalità del trattamento e soggetti ai quali possono essere comunicati i dati

L'informativa sulla privacy relativa a dati personali raccolti via web deve contenere tutte le informazioni elencate nel Codice in materia di protezione dei dati personali. Lo ha ribadito il Garante che ha ingiunto ad una società il pagamento di seimila euro. La società, tramite il proprio sito web, raccoglieva i dati personali di cittadini interessati a ricevere informazioni sui servizi offerti, che riguardavano l'assistenza allo studio e la preparazione agli esami universitari. Nel sito, in particolare, venivano raccolti indirizzi e-mail e numeri di telefonia mobile, specificando che il recapito telefonico sarebbe stato utilizzato esclusivamente "per un contatto da parte di un commerciale". Il Garante aveva contestato alla società la violazione (omessa o inidonea informativa all'interessato). La società non aveva dato corso al pagamento in misura ridotta e si era anzi opposta sostenendo non solo che l'informativa proposta conteneva tutte le informazioni specificate nel Codice, ma anche che gli indirizzi e-mail e i numeri di cellulare non potessero essere definiti dati personali, sia perché non in grado di identificare una persona, sia perché non compresi tra le tipologie annoverate nella definizione di dato personale del Codice. Tali motivazioni sono state ritenute inadeguate a giustificare il comportamento dell'azienda.

Page 17: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

Art. 7Diritto di accesso ai dati personali ed altri diritti

• L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.

• 2. L'interessato ha diritto di ottenere l'indicazione:

• a) dell'origine dei dati personali;

• b) delle finalità e modalità del trattamento;

• c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici;

• d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'articolo 5, comma 2;

• e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.

Page 18: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

•3. L'interessato ha diritto di ottenere:

•a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati;

•b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;

•c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.

•4. L'interessato ha diritto di opporsi, in tutto o in parte:

•a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;

•b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale

OGGETTO: ESERCIZIO DI DIRITTI IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (artt. 7 e 8 del Codice)

Page 19: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

DISCIPLINA PREVISTA PER GLI ENTI PUBBLICI NON ECONOMICI

• Per gli enti pubblici la normativa sulla privacy va armonizzata con quella precedente riguardante la trasparenza amministrativa

• Gli enti pubblici, in particolare le scuole, non hanno bisogno di ottenere il consenso per il trattamento dei dati inerenti alle loro finalità istituzionali (diversamente dai privati che devono sempre ottenere il consenso)

• Il trattamento dei dati sensibili da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite

• Inoltre gli enti pubblici devono dotarsi di regolamenti per il trattamento dei dati sensibili. Dopo vari rinvii, il MPI ha adottato il regolamento con decreto 305 del 7/12/2006, G.U. 11 del 15/01/2007. Il termine ultimo per adeguarsi al regolamento era il 28/02/2007.

Page 20: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

DISCIPLINA SPECIFICA PER L’ISTRUZIONE• Art. 95. Dati sensibili e giudiziari• 1. Si considerano di rilevante interesse pubblico, ai sensi degli articoli 20 e 21, le

finalità di istruzione e di formazione in ambito scolastico, professionale, superiore o universitario, con particolare riferimento a quelle svolte anche in forma integrata.

• Art. 96. Trattamento di dati relativi a studenti• 1. Al fine di agevolare l'orientamento, la formazione e l'inserimento

professionale, anche all'estero, le scuole e gli istituti scolastici di istruzione secondaria, su richiesta degli interessati, possono comunicare o diffondere, anche a privati e per via telematica, dati relativi agli esiti scolastici, intermedi e finali, degli studenti e altri dati personali diversi da quelli sensibili o giudiziari, pertinenti in relazione alle predette finalità e indicati nell'informativa resa agli interessati ai sensi dell'articolo 13. I dati possono essere successivamente trattati esclusivamente per le predette finalità.

• 2. Resta ferma la disposizione di cui all'articolo 2, comma 2, del decreto del Presidente della Repubblica 24 giugno 1998, n. 249, sulla tutela del diritto dello studente alla riservatezza. Restano altresì ferme le vigenti disposizioni in materia di pubblicazione dell'esito degli esami mediante affissione nell'albo dell'istituto e di rilascio di diplomi e certificati.

Page 21: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

Autorizzazione n. 1/2008 al trattamento dei dati sensibili nei rapporti di lavoro - 19 giugno 2008

(G.U. n. 169 del 21 luglio 2008 - supp. ord. n. 175)

• 3) Finalità del trattamentoIl trattamento dei dati sensibili deve essere indispensabile:

• a) per adempiere o per esigere l'adempimento di specifici obblighi o per eseguire specifici compiti previsti dalla normativa comunitaria, da leggi, da regolamenti o da contratti collettivi anche aziendali, in particolare ai fini dell'instaurazione, gestione ed estinzione del rapporto di lavoro, nonché dell'applicazione della normativa in materia di previdenza ed assistenza anche integrativa, o in materia di igiene e sicurezza del lavoro o della popolazione, nonché in materia fiscale, sindacale, di tutela della salute, dell'ordine e della sicurezza pubblica;

Page 22: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

IL REGOLAMENTO SUI DATI SENSIBILI E GIUDIZIARI

Il testo del Regolamento, molto snello ed essenziale, è suddiviso in 3 articoli nei quali si richiama il D.L.vo 196/03 e si sottolinea l’obbligo di trattare dati sensibili e giudiziari solo previa verifica della loro pertinenza, completezza e indispensabilità rispetto alle finalità perseguite nei singoli casi, specie quando la raccolta non avvenga presso l’interessato. (art. 2)

• Sono parte integrante del Regolamento 7 schede che individuano tutti i dati sensibili e giudiziari trattati dalle scuole, suddividendoli in ambiti:Scheda n. 1 – Selezione e reclutamento a TI e TD e gestione del rapporto di lavoro;Scheda n. 2 – Gestione del contenzioso e procedimenti disciplinari; Scheda n. 3 – Organismi collegiali e commissioni istituzionali;Scheda n. 4 – Attività propedeutiche all’avvio dell’anno scolastico;Scheda n. 5 – Attività educativa, didattica e formativa e di valutazione;Scheda n. 6 – Scuole non statali (relativamente agli eventuali dati sensibili e giudiziari che emergono nell’attività di vigilanza e controllo effettuata dall’Amministrazione e dai dirigenti scolastici delle scuole primarie incaricati della vigilanza sulle scuole non statali autorizzate);

• Scheda n. 7 – Rapporti Scuola-Famiglie: gestione del contenzioso.

Page 23: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

ADEMPIMENTI SUCCESSIVI AL REGOLAMENTO

• Necessario adeguare documenti e attività della scuola alle norme del regolamento.

• La conoscenza del Regolamento dev’essere oggetto dell’attività di formazione del personale incaricato prevista dal D.L.vo 196/03;

• Nell’informativa agli interessati si fa riferimento al rispetto da parte della scuola alle prescrizione del Regolamento;

• Si dà evidenza dell’aggiornamento del Documento Programmatico per la Sicurezza nella relazione al programma annuale. Tale adempimento va fatto entro il 31 marzo.

• Il Dirigente scolastico effettua verifiche periodiche del rispetto delle istruzioni impartite, di cui all'articolo 29 comma 5 del Dlgs 196/2003.

• Va fatto un aggiornamento periodico, almeno annuale, dei trattamenti consentiti ai singoli incaricati (Punti 15 e 27 del Disciplinare Tecnico allegato B del Codice) e degli eventuali diversi profili di autorizzazione per l'accesso ai dati trattati in formato elettronico (Punto 14 del Disciplinare Tecnico allegato B del Codice).

Page 24: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

Modalità trattamento dati sensibili (Art. 22 D. lgvo)

Nel fornire l'informativa di cui all'articolo 13 soggetti pubblici fanno espresso riferimento alla normativa che prevede gli obblighi o i compiti in base alla quale è effettuato il trattamento dei dati sensibili e giudiziari.

I dati sensibili e giudiziari contenuti in elenchi, registri o banche di dati, tenuti con l'ausilio di strumenti elettronici, sono trattati con tecniche di cifratura o mediante l'utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità.

I dati idonei a rivelare lo stato di salute e la vita sessuale sono conservati separatamente da altri dati personali trattati per finalità che non richiedono il loro utilizzo. I medesimi dati sono trattati con le modalità di cui al comma 6 anche quando sono tenuti in elenchi, registri o banche di dati senza l'ausilio di strumenti elettronici.

I dati idonei a rivelare lo stato di salute non possono essere diffusi.

Page 25: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

Molte falsità sulla privacy a scuola". Il Garante: una leggenda metropolitana

 "Non è vero che i voti scolastici devono restare segreti, non è vero che gli studenti devono 'nascondere' la propria fede religiosa, non è vero che i risultati degli scrutini devono rimanere clandestini". Secca smentita del Garante alle notizie del tutto infondate riguardanti la privacy nelle scuole.

Non esiste alcun provvedimento del Garante che imponga di tenere segreti i voti dei compiti in classe, delle interrogazioni o gli scrutini, né di consegnarli agli alunni in busta chiusa.

Dal 1997 il Garante si sforza, anche con comunicati stampa, di ricordare che i risultati degli scrutini – che non sono, peraltro, dati sensibili, soggetti a speciali tutele - devono essere al contrario pubblicati anche dopo l'avvento della normativa sulla privacy, essendo ciò previsto da una specifica disciplina in materia e rispondendo a principi di trasparenza.

Page 26: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

Il diritto al lavoro e, quindi, il diritto alla difesa dello stesso, sono costituzionalmente garantiti (art. 4 e 24 della Costituzione) e, pertanto, prevalgono sul diritto alla riservatezza.

I docenti controinteressati hanno diritto di prendere visione della documentazione presentata da altri colleghi che beneficiano della legge 104/92. La tutela dei dati sensibili come quelli idonei a rivelare lo stato di salute viene sacrificata se la ricorrente agisce per tutelare il proprio diritto al lavoro. Questa è la motivazione che si legge nella decisione del Consiglio di Stato n. 5323 del 27/10/2006 che ha respinto il ricorso presentato in appello dal MIUR.Il Consiglio di Stato, ha confermato quanto già deciso in primo grado dal Tar Lazio che aveva accolto il ricorso di una docente alla quale la scuola aveva negato per motivi di privacy l’accesso alla documentazione di una docente intenzionata a verificare il diritto di una altra collega (inserimento nelle graduatorie di istituto) a beneficiare delle priorità di cui alla legge 104/92.

Page 27: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

MISURE MINIME DI SICUREZZA • Art. 34. Trattamenti con strumenti elettronici• 1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono

adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:

• a) autenticazione informatica; (password)• b) adozione di procedure di gestione delle credenziali di autenticazione;• c) utilizzazione di un sistema di autorizzazione;• d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai

singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;• e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad

accessi non consentiti e a determinati programmi informatici;• f) adozione di procedure per la custodia di copie di sicurezza (back up), il ripristino della

disponibilità dei dati e dei sistemi;• g) tenuta di un aggiornato documento programmatico sulla sicurezza • h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati

idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Page 28: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

TRATTAMENTI CON STRUMENTI ELETTRONICI

MISURA DI SICUREZZA

DESCRIZIONE E/O ESEMPIO

AGGIORNAMENTO E NOTE

NORME(Alleg. B)

Sistema di autenticazione

InformaticaUser-ID e Password

Periodico(almeno annuale)

N.B.: in caso di trattamento di dati sensibili e giudiziari la

password deve essere modificata ogni 3 mesi

Per maggiori dettagli si rinvia alle disposizionida n.1 a n. 11 e n. 15

Sistema di autorizzazione

Creazione e gestione di diversi profili “utente” con poteri di accesso/modifica ai dati e ai

programmi differenziati in base alle effettive mansioni e

responsabilità assegnate

Periodico (almeno annuale)

Per maggiori dettagli si rinvia alle disposizioni da n.12 a n.14

Sistema di protezione contro i software dannosi ai sensi dell’art.

615 quinquies c.p.(virus, worm, trojan

horse…)

Antivirus e altri strumenti elettronici (software e/o

hardware) tesi ad impedire l’infezione e la diffusione di

programmi dannosi.

Periodico(almeno semestrale)

Per maggiori dettagli si rinvia alla disposizionen. 16

Page 29: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

Sistema di protezione

contro accessi abusivi

(art. 615 ter c.p.)

Firewall ed altri strumenti elettronici (software e/o

hardware) tesi ad impedire l’accesso abusivo ai dati sensibili e giudiziari (in quest’ampia definizione

rientrano in astratto anche i sistemi “Intrusion Detection

Sstems”)

Periodico(almeno semestrale)

Per maggiori dettagli si rinvia alle disposizioni da n. 20

 

Sistema di aggiornamento periodico dei

programmi volti a prevenire le vulnerabilità

I software utilizzati (dal sistema operativo ai vari

software applicativi) devono essere costantemente

aggiornati per eliminarne le vulnerabilità.

Periodico(almeno annuale)N.B.: in caso di

trattamento di dati sensibili e giudiziari

l’aggiornamento deve essere almeno semestrale

Per maggiori dettagli si rinvia alla disposizionen. 17

Sistema di back up

Salvataggio (copia) dei dati su supporti di sicurezza. Periodico

(almeno settimanale) 

Per maggiori dettagli si rinvia alla disposizionen. 18

Disaster Recovery

 

Adozione di misure idonee per il ripristino della disponibilità dei dati

sensibili o giudiziari in seguito a distruzione o

danneggiamento.  

N.B.: l’accesso ai dati deve essere ripristinato entro e non

oltre 7 gg.

Per maggiori dettagli si rinvia alle disposizioni da n.21 a 23

DPS

Redazione di un documento organico che, partendo da un’attenta analisi dei rischi del sistema, metta in risalto le contromisure tecniche e

procedurali idonee a prevenirli e contenerli.

Periodico( entro il 31 marzo di

ogni anno)

Per maggiori dettagli si rinvia alle disposizioni da n. 19 a n. 19.8

Page 30: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

Lavoro: linee guida del Garante per posta elettronica e internetRegistro delle deliberazioni Del. n. 13 del 1° marzo 2007

• I datori di lavoro pubblici e privati non possono controllare la posta elettronica e la navigazione in Internet dei dipendenti, se non in casi eccezionali. Spetta al datore di lavoro definire le modalità d'uso di tali strumenti ma tenendo conto dei diritti dei lavoratori e della disciplina in tema di relazioni sindacali.

• L'Autorità prescrive innanzitutto ai datori di lavoro di informare con chiarezza e in modo dettagliato i lavoratori sulle modalità di utilizzo di Internet e della posta elettronica e sulla possibilità che vengano effettuati controlli. Il Garante vieta poi la lettura e la registrazione sistematica delle e-mail così come il  monitoraggio sistematico delle pagine web visualizzate dal lavoratore, perché ciò realizzerebbe un controllo a distanza dell'attività lavorativa vietato dallo Statuto dei lavoratori.

• Il provvedimento raccomanda l'adozione da parte delle aziende di un disciplinare interno, definito coinvolgendo anche le rappresentanze sindacali, nel quale siano chiaramente indicate le regole per l'uso di Internet e della posta elettronica.

Page 31: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

•Il datore di lavoro è inoltre chiamato ad adottare ogni misura in grado di prevenire il rischio di utilizzi impropri, così da ridurre  controlli successivi sui lavoratori.  Per quanto riguarda Internet è opportuno ad esempio:

•individuare preventivamente i siti considerati correlati o meno con la prestazione lavorativa;

•utilizzare filtri che prevengano determinate operazioni, quali l'accesso a siti inseriti in una sorta  di black list o il download di file musicali o multimediali.

•Per quanto riguarda la posta elettronica, è opportuno che l'azienda:

•renda disponibili anche indirizzi condivisi tra più lavoratori  ([email protected]; [email protected]; [email protected]), rendendo così chiara la natura non privata della corrispondenza;

•valuti la possibilità di attribuire al lavoratore un altro indirizzo (oltre quello di lavoro), destinato ad un uso personale;

•preveda, in caso di assenza del lavoratore, messaggi di risposta automatica con le coordinate di altri lavoratori cui rivolgersi;

•metta in grado il dipendente di delegare un altro lavoratore (fiduciario) a verificare  il contenuto dei messaggi a lui indirizzati e a inoltrare al titolare quelli ritenuti rilevanti per l'ufficio, ciò in caso di assenza prolungata o non prevista del lavoratore interessato e di improrogabili necessità legate all'attività lavorativa.

Page 32: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

"Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in

ambito pubblico" - 14 giugno 2007(G.U. 13 luglio 2007, n. 161)

• 3. È necessario che ogni lavoratore sia preposto per iscritto, in qualità di "incaricato", alle operazioni di trattamento e sia debitamente istruito in ordine all'accesso e all'utilizzo delle informazioni personali di cui può venire a conoscenza nello svolgimento della propria prestazione lavorativa. La designazione degli incaricati può essere effettuata nominativamente o, specie nell'ambito di strutture organizzative complesse, mediante atti di preposizione del lavoratore a unità organizzative per le quali venga altresì previamente individuato, per iscritto, l'ambito del trattamento consentito (art. 30 del Codice).

Page 33: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

5.2 Rapporti con le organizzazioni sindacali

• Ad esclusione dei casi in cui il contratto collettivo applicabile preveda espressamente che l'informazione sindacale abbia ad oggetto anche dati nominativi del personale per verificare la corretta attuazione di taluni atti organizzativi, l'amministrazione può fornire alle organizzazioni sindacali dati numerici o aggregati e non anche quelli riferibili ad uno o più lavoratori individuabili. É il caso, ad esempio, delle informazioni inerenti ai sistemi di valutazione dell'attività dei dirigenti, alla ripartizione delle ore di straordinario e alle relative prestazioni, nonché all'erogazione dei trattamenti accessori .

• Resta disponibile per l'organizzazione sindacale anche la possibilità di presentare istanze di accesso a dati personali attinenti ad uno o più lavoratori su delega o procura (art. 9, comma 2, del Codice), come pure la facoltà di esercitare il diritto d'accesso a documenti amministrativi in materia di gestione del personale …

Page 34: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

Dati relativi a concorsi e selezioni

• Nel quadro delle attività delle pubbliche amministrazioni si procede comunque, di regola, alla pubblicazione di graduatorie e di esiti di concorsi e selezioni pubbliche.

• Nell'utilizzare tale strumento (Internet) di diffusione occorre, quindi, prevedere forme adeguate di selezione delle informazioni che potrebbero essere altrimenti aggregate massivamente mediante un comune motore di ricerca esterno ai siti. Si pensi alle pagine web contenenti dati relativi a esiti, graduatorie e giudizi di valutazione, che in termini generali dovrebbero essere conosciute più appropriatamente solo consultando un determinato sito Internet, oppure attribuendo solo alle persone interessate una chiave personale di accesso (a vari dati relativi alla procedura, oppure solo a quelli che li riguardano), o predisponendo, nei siti istituzionali, aree ad accesso parimenti selezionato nelle quali possono essere riportate ulteriori informazioni accessibili anche ai controinteressati 

Page 35: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

Cartellini identificativi • Nel selezionare i dati personali destinati ad essere

diffusi attraverso i cartellini identificativi, le amministrazioni sono tenute a rispettare i princìpi di pertinenza e non eccedenza dei dati in rapporto alle finalità perseguite (art. 11 del Codice), specie in assenza di necessarie disposizioni di legge o regolamento che prescrivano l'adozione per determinati dipendenti di cartellini identificativi e ne individuino eventualmente anche il relativo contenuto.

27 Febbraio 2009È da oggi entrata in vigore una nuova legge che prevede che il personale delle pubbliche amministrazioni a contatto con il pubblico debba indossare un cartellino identificativo ed esporre sulla scrivania una targa con nome e cognome.

Page 36: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

Dati idonei a rivelare lo stato di salute

• Proibita la diffusione

• No a indicazioni su categorie protette nelle graduatorie

• Sui certificati non diagnosi, ma solo prognosi

Page 37: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.
Page 38: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

MISURE E ACCORGIMENTI PRESCRITTI AI TITOLARI DEI TRATTAMENTI EFFETTUATI CON STRUMENTI ELETTRONICI RELATIVAMENTE ALLE

ATTRIBUZIONI DELLE FUNZIONI DI AMMINISTRATORE DI SISTEMA - 27 NOVEMBRE 2008

(G.U. n. 300 del 24 dicembre 2008)(così modificato in base al provvedimento del 25 giugno 2009)

• a. Valutazione delle caratteristiche soggettive• L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione

delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza

• b. Designazioni individuali• c. Elenco degli amministratori di sistema nel DPS• d. Servizi in outsourcing• Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve

conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

• e. Verifica delle attività (almeno annuale)• f. Registrazione degli accessi

Page 39: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

• Art. 35. Trattamenti senza l'ausilio di strumenti elettronici1. Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:

• a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;

• b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; (stipetti per i registri personali)

• c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati. (accesso regolamentato alle segreterie)

• Si sottolinea che persone diverse dagli incaricati non possono accedere ad archivi di dati (quaderni dei verbali e in generale documenti custoditi nelle segreterie)

Page 40: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

TRATTAMENTI SENZA L’AUSILIO DI STRUMENTI ELETTRONICI

MISURA DI SICUREZZA

DESCRIZIONE E/O

ESEMPIO

AGGIORNAMENTO NORMA

(Alleg. B)

Redazione di istruzioni scritte agli incaricati

Redazione di istruzioni scritte finalizzate al

controllo e alla custodia dei documenti contenenti

dati personali

Periodico(almeno annuale)

 

Per maggiori dettagli si rinvia alle disposizionida n.27 a n. 28

Sistema di accesso selezionato e controllato

agli archivi

L’accesso agli archivi contenenti dati sensibili o

giudiziari deve essere controllato. In mancanza di strumenti elettronici per il controllo degli accessi o di incaricati alla vigilanza le persone che vi accedono

devono essere preventivamente autorizzate.

“…”

Per maggiori dettagli si rinvia alla disposizione

n.29

Page 41: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

Possibili conseguenze di una raccolta illecita di dati

Questionari a scuola e garanzie per alunni e genitoriIl Garante blocca la pubblicazione di una tesi di laurea perché i dati erano

stai raccolti in modo illecitoBloccati dal Garante per trattamento illecito di dati personali alcuni risultati

di una ricerca universitaria, svolta in una scuola elementare e riportati in una tesi di laurea in via di pubblicazione. Gli alunni, e di conseguenza i genitori, non erano stati informati né degli scopi dell'iniziativa, né del fatto che la loro partecipazione era facoltativa e non obbligatoria.

Le conseguenze, in alcuni casi, possono diventare ben più gravi, essendo previste sanzioni amministrative molto rilevanti (ad es. per omessa informativa all’interessato), sanzioni penali (per es. per l’omissione delle misure minime di sicurezza), oltre alle azioni di risarcimento danni per chi ne abbia titolo. La responsabilità civile è una responsabilità oggettiva (per l’esercizio di attività pericolose), per cui si prescinde dal dolo o dalla colpa.

Page 42: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

SANZIONI

• Art. 161. Omessa o inidonea informativa all'interessato (1)• 1. La violazione delle disposizioni di cui all'articolo 13 è punita con la sanzione

amministrativa del pagamento di una somma da seimila euro a trentaseimila euro.

• Art. 169. Misure di sicurezza (1)• 1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste

dall'articolo 33 è punito con l'arresto sino a due anni. • 2. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche

con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo della sanzione stabilita per la violazione amministrativa. L'adempimento e il pagamento estinguono il reato. L'organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili.

• (1) Così modificati dalla legge 27 febbraio 2009, n. 14 di conversione, con modificazioni, del decreto-legge n. 207 del 30 dicembre 2008

Page 43: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

STUDENTI E PRIVACYCircolare 15/03/07, Direttiva 30/11/07

• Possibili violazioni di norme da parte degli studenti (cellulari e video)

Codice privacy (obbligatori l’informazione e il consenso, scritto se si tratta di dati sensibili)

• L’inosservanza dell’obbligo di preventiva informativa all’interessato comporta il pagamento di una sanzione amministrativa che va da un importo minimo di 3.000 (ora 6.000 euro) sino ad un massimo di 18.000 (ora 36.000 euro)…

• Resta salvo un eventuale risarcimento danni.• Restano esclusi da tale normativa i dati raccolti per fini personali

e non per la diffusione (ad es. youtube)

Page 44: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

STUDENTI E PRIVACYCodice Civile e Legge sui diritti d’autore

Articolo 10 C.C. Abuso dell'immagine altrui (risarcimento danni ex art. 2043 “neminem laedere”)

Diritto d’autore: necessario consenso per il ritratto di una persona a meno che non si tratti di persone “pubbliche”, eventi pubblici, scopi scientifici, didattici e culturali

Page 45: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

STUDENTI E PRIVACYCodice penale

a. l’indebita raccolta, la rivelazione e la diffusione di immagini attinenti alla vita privata che si svolgono in abitazioni altrui o in altri luoghi di privata dimora (art. 615-bis codice penale);

b. il possibile reato di ingiurie, in caso di particolari messaggi inviati per offendere l’onore o il decoro del destinatario (art. 594 codice penale);

c. le pubblicazioni oscene (art. 528 codice penale); d. la tutela dei minori riguardo al materiale

pornografico (artt. 600-ter codice penale; legge 3agosto 1998, n. 269).

Page 46: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

SENTENZE

• Gravi responsabilità dei genitori ex art. 2048 c.c.:• - Culpa in educando: “l'affidamento del minore alla

custodia di terzi solleva il genitore dalla presunzione di colpa "in vigilando", ma non anche da quella di colpa "in educando", rimanendo comunque i genitori tenuti a dimostrare, per liberarsi da responsabilità per il fatto compiuto dal minore in un momento in cui lo stesso si trovava soggetto alla vigilanza di terzi, di avere impartito al minore stesso un'educazione adeguata a prevenirne comportamenti illeciti” Cassazione civile n. 12501/2000

Page 47: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

ADEMPIMENTI INDISPENSABILI DELLA SCUOLA

• Previsto da statuto degli studenti, da Circolare 15.03.2007 e precisato da giurisprudenza (Cassazione civile , sez. III, 14 ottobre 2003, n. 15321):

• La scuola non soltanto può, ma ha addirittura l’obbligo di predisporre tutte le misure disciplinari e organizzative idonee e necessarie al fine di proteggere l’incolumità degli alunni e di consentire che l’insegnante sia posto in condizione di evitare pericoli per gli allievi. E, per non incorrere in responsabilità, ha l’onere di dimostrare di averle adottate tutte in via preventiva, con un regolamento rigido

Page 48: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

PARERE AVV. MARCO CUNIBERTI

• Per cui il regolamento può (anzi, DEVE) prevedere:• - divieto di ingresso di videofonini (al limite sì ai MERI

telefonini, ma divieto assoluto di accenderli all’interno dei locali scolastici) e foto/videocamere (d’altronde se il ragazzo deve telefonare con urgenza ai genitori o viceversa, può essere utilizzato il telefono della scuola)

• - ritiro da parte degli insegnanti in caso di violazione, e custodia in modo/luogo sicuro e consegna solo ai genitori, oltre a grave sanzione disciplinare.

• - Informativa privacy ai genitori completa e loro consenso a tale trattamento da parte della scuola

Page 49: Decreto legislativo 30 giugno 2003, n° 196  A cura di Gabriella Burba.

Art. 2050 Responsabilità per l'esercizio di attività pericoloseChiunque cagiona danno ad altri nello svolgimento di un'attività

pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a

evitare il danno.

• Può l’insegnante controllare il videofonino del ragazzo e, ledendo la sua privacy, vedere il contenuto del filmato/foto?

• Sembrerebbe di sì, applicando i principi suesposti.• La foto o il filmato di terzi (compagni-professori-terzi) da parte dell’alunno rappresenta

senz’altro un trattamento di dati personali delle persone riprese, per cui un’attività dalla legge ritenuta pericolosa di per sé (per la quale è prevista addirittura la responsabilità ex art. 2050 c.c.)

• Criterio: l’insegnante deve (per cui può) intervenire tutte le volte in cui, se si verificasse il danno, la scuola sarebbe responsabile, cioè tutte le volte in cui potrebbe essere contestato alla scuola (con una valutazione caso per caso) che avrebbe potuto impedire il fatto. Deve infatti provare di aver adempiuto l’obbligo di vigilanza sugli scolari con una diligenza idonea (nel caso concreto) ad impedire il fatto illecito

• Avv. Marco Cuniberti -

“I telefonini in classe? Invece di proibirli adotterei una cura omeopatica: contrastare la tecnologia con la tecnologia, schermando la scuola con un sistema che impedisca di effettuare telefonate o inviare messaggi durante le ore di lezione. L’ho già fatto in passato e posso garantire che funziona”.